落實資訊安全 保障個人隱私－臺灣資訊安全法制趨勢簡介

張耀中／資訊工業策進會科技法律中心專案經理

在新技術發展之初，新科技的負面影響往往被有意或無意地忽略，造成後續應用過程中出現的科技濫用成為各方始料未及的棘手議題。以臺灣為例，依據美國布朗大學每年公布的「全球電子化政府調查報告」，臺灣電子化政府網路服務內容已受到國際肯定；但在實際運用上，部分臺灣民眾則可能因為擔心資料遭外洩或相關安全問題考量，仍不太願意透過虛擬網路環境進行實體社會活動。

為避免網路科技所可能帶來的風險，以及因應網路科技應用對現行法制環境帶來的衝擊，行政院於2001年1月核定通過了「建立我國通資訊基礎建設安全機制計畫」（以下簡稱「本機制計畫」），成立「國家資通安全會報」，以提供各政府機關資安事前防護、事中監看、事後應變及事終鑑識等各種資安技術服務。透過各工作組之努力，政府各單位已建立第一階段國家資通安全基本防護能力，目前正積極推動第二階段作業，將安全工作擴及至國家重要基礎建設機構，如水、電等國營事業及民營業者，並希望透過政府與民間產業之資訊分享，以建構完整資訊安全防護系統。

在法規部分，我國亦參酌國際組織及先進國家之立法趨勢與建議，並依據我國之國情，修訂資訊安全相關法律，以符合國際之要求，進而作為建立國際合作打擊犯罪之基礎。以下將從資料保護、傳輸安全保護，以及犯罪偵察協助三部分，列舉部分相關規定以供參考：

一、 個人資料保護
雖說我國早於1995年即通過「電腦處理個人資料保護法」，作為電腦處理個人資料之依據。然而隨著網路的普及，各行各業大量利用電腦處理與客戶有關的資訊，個人資料的價值因此被重新定義；與個人資料息息相關的資料主體隱私保護問題，隨著國內詐騙案件的猖獗，個人資料保護始成為國人共同關注的焦點。現行的電腦處理個人資料保護法，由於立法當時採特定行業別規範的方式設計，在實務案例的具體適用上即顯不足。

為使我國對個人資料的規範更符合國際趨勢，「個人資料保護法」的修正草案即參考歐盟、美國及日本等國對個人資料保護之規定，修正草案取消行業別，將適用之主體擴大至自然人、法人、公務與非公務機關等；擴大保護客體至以紙本處理的個人資料；增加犯罪前科、健康檢查、醫療、性生活及基因等5類「敏感性資料」，嚴格規範該類型資料的蒐集處理與利用等。

此外，新法賦予機關更重的個人資料安全維護責任，例如：機關應訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法；機關當其所蒐集之個人資料有被竊取、洩漏、竄改時，應迅速通知當事人之責任機關主動告知當事人。

二、傳輸安全保護
因應國際建立打擊網路犯罪網的立法趨勢，我國於2003年6月25日增訂了刑法第36章「妨害電腦使用罪章」。全章共計6條條文，包括無故入侵（第358條）；無故取得、刪除或變更電磁記錄（第359條）；無故干擾電腦系統（第360條）；與製作專供犯罪程式罪（第362條）等4種犯罪型態，加上對公務機關犯罪之加重處罰規定（第361條）與告訴乃論（第363條）之設計等。讓實務上常見的駭客入侵、病毒散布或殖入木馬等行為都有明確處罰依據。

此外，我國早於1999年7月16日便公布「通訊保障及監察法」。依據本法之規定，通訊監察的實施需在確保國家安全或是維持社會秩序所必要時始可為之；通訊監察書之核發，需在通訊內容與危害國家安全或社會秩序有關，且以法定重罪為限；而通訊監察的期間，原則上不得超過30天。

三、 犯罪偵察協助
由於網路具有可匿名性，電磁證據具有容易被湮滅的特性，網路犯罪在偵查階段相當倚賴電腦訊息傳輸中自動產生的記錄，也就是歷史稽核檔。但業者的配合義務範圍，與執法機關在何種條件下，可以取得何種的電磁記錄等議題，由於另涉及民眾的通訊隱私，因此需要有明確的法律授權與定義。

依據我國電信法授權電信總局制定之「第二類電信業事業管理規則」第27條，電信業者對於調查或蒐集證據，並依法律程序查詢電信之有無及其內容者，應提供其資料。提供網際網路接取服務者，對於撥接用戶識別帳號、通信日期、上下網時間記錄、網頁空間線上申請帳號時之來源IP位址等，均有保存期限1～6個月不等之規定。業者若違反本條規定者，可依法處以新臺幣20萬元以上、100萬元以下罰鍰，並通知限期改善，屆期仍未改善者，則廢止其許可。

為建立安全的網路應用環境，降低科技應用的負面效益，藉由明確的法制政策來防止資訊設備被不當濫用，已成為各國政府的共識。
然而，資安工作更需要各企業、組織管理階層在安全管理工作上的重視。為尊重市場經濟、避免影響產業發展，除了犯罪防制層面的議題外，我政府預計仍將以推動業者自律，協助建立、推動資安產品或作業的標準與規範為主。但是，如何真正落實使用者安全教育、強化有效管理，則是另一個亟待各界努力的議題。