◎ 高國祐
據媒體報導,近來國內企業資安事件頻傳,包含華航、和泰汽車旗下iRent以及微風集團等皆受到駭客攻擊,導致數十萬名消費者的個人資料外洩,凸顯出國內企業對於資訊安全保護之重視程度有待提升。然而,如此之問題並不單純僅是企業對於資安保護意識過於鬆懈,而是在規範層面上監督管理程度本即有所不足,導致資安事件一再發生。舉例而言,依據現行個人資料保護法,企業一旦外洩個人資料,至多也僅受新台幣五十萬元之罰鍰。以此對照企業維護資訊安全需付出之軟體、硬體及人事成本,讓企業缺乏防護客戶個資的動機,可能是原因之一。

為了強化企業的資訊安全管理機制,金融監督管理委員會(金管會)即針對國內上市櫃公司分別從資訊揭露、公司治理及共享合作等面向採取不同措施,強化企業的資訊安全保護及管理:
首先,就資訊揭露層面,金管會、證交所及櫃買中心已修訂相關契約及規範1,要求上市櫃公司於發生重大資安事件時應即時發布重大訊息,以讓市場知悉該事件之發生及所帶來的相關風險。此外,金管會亦早在2021年底修正《公開發行公司年報應行記載事項準則》2,以要求公司應於年報中敘明公司關於資訊安全之管理政策、所投入之資源、資安風險影響程度以及關於重大資訊安全事件之影響和公司之因應措施3。
其次,在公司治理方面,金管會以函釋4的方式,要求上市櫃公司依其資本額規模、業務性質及營運狀況等條件分階段配置資訊安全人力資源,諸如:指派公司之資訊安全長;於公司內部設置資訊安全專責單位,專門負責資訊安全相關工作等。
此外,金管會亦已於2022年5月即訂定《證券期貨市場相關公會新興科技資通安全管控指引》,以協助證券期貨業者安全有效的管理及應用新興科技,諸如:要求服務提供者對於客戶資料應採取加密或代碼化等有效保護措施,並訂定加密金鑰機制,以安全有效的管理客戶個資。而對於電子式交易身分驗證安全控管,亦對相關安全設計有一定之要求。
最後,就共享合作面向,金管會亦鼓勵上市櫃公司依風險等級加入臺灣電腦網路危機處理暨協調中心(TWCERT/CC),共享資訊安全情資,以強化資訊安全的聯防,避免在單一供應商受到攻擊的情況下,連帶地影響到整體產業鏈。
附帶一提者,行政院於2023年4月13日提出個人資料保護法修正草案,除設置個資保護獨立監督機關外,並提高個資外洩之罰責5。未來若經立法通過,應可改善因處罰過輕致企業疏於防範客戶個資外洩的問題。不過,針對企業資安事件頻傳的防弊,是否單靠提高罰則就可以解決?如果個資外洩是肇因於政府部門,而不是因為企業疏於防範,又如何解決?在在值得思考與觀察。
參考資料
- 中央通訊社,〈上市櫃重大資安事件未公告 最重可罰500萬元〉,https://www.cna.com.tw/news/afe/202303090393.aspx
- 今周刊,〈從華航到iRent都被「駭」 資安危機事件一演再演──40天四起個資外洩 中小企業資安拉警報〉,https://www.businesstoday.com.tw/article/category/183027/post/202302150040/
- 金融監督管理委員會,〈新聞稿:金管會近期積極推動強化上市(櫃)公司資通安全管理之措施〉,https://www.fsc.gov.tw/ch/home.jsp?id=2&parentpath=0&mcustomize=news_view.jsp&dataserno=202303090003&dtable=News
- 聯合新聞網,〈企業資安事件頻傳 金管會規定金融業須於30分鐘內通報〉,https://udn.com/news/story/7239/6991518
- 聯合新聞網,〈微風90萬客戶個資遭駭 放駭客論壇兜售〉,https://udn.com/news/story/123309/6989412?from=udn-relatednews_ch2