臺灣政府修訂資安法在即,行政院資安處處長簡宏偉表示,預計在2021年第一季,將資安法修法草案送交立法院進行三讀。(攝影_洪政偉)

在2020年,除了臺灣,世界各國或多或少都受到武漢肺炎疫情的影響,帶來大量染疫人口死亡、經濟衰退等後遺症,面對2021年的資安發展趨勢,臺灣在法規遵循的面向上,主要的挑戰在於資安法及個資法的修法,這也同時攸關公務機關及非公務機關:關鍵基礎設施業者及行政法人如何因應資安法的修法;另外,臺灣面對歐盟個資法GDPR(一般資料保護規則)正式施行後,臺灣政府與歐盟談適足性認定時,對於法律應該如何調適,才能夠接軌GDPR的要求,也都必須提出因應對策。

行政院推動資安法修法,預計第一季送立法院三讀

《資安法》從2019年元旦開始實施後,因為該法主要規範政府部門、關鍵基礎設施業者,以及相關的法人等,為了更落實《資安法》的規定,行政院資安處也從2020年12月開始,在北、中、南、東舉辦共九場的「資安法修法說明會」,行政院資安處處長簡宏偉說:「預計在今年第一季,將《資安法》的修法條文送進立法院審查,希望能夠儘速完成三讀程序。」

這次《資安法》的修正,包括母法和六個子法在內,其中,針對母法的部份,主要是有法規調適,例如,要配合新通過的《財團法人法》做必要的條文修正,畢竟,《資安法》通過時,還沒有《財團法人法》。此外,這次的修法中,原本被《資安法》排除的軍事機關及情報機關,則被納入要求,這些單位必須要另外制定《資通安全維護計畫》送主管機關行政院備查。

對於委外業者的管理也越來越重要,原本《資安法》對於委外合作的業者規範並不嚴厲,只明文要求「不得洩露在執行或辦理相關事務過程中,所獲悉關鍵基礎設施提供者的秘密。」但是,簡宏偉認為,除非有正當的理由,所有的委外單位都負有保密的義務,保密的範圍構不應該只局限在關鍵基礎設施提供者,因此,在針對《資安法》母法的修法中,也強化委外業者的保密義務。

至於,《資安法》的六個子法中,修法影響程度最大的,其實就是《資通安全責任等級分級辦法》。簡宏偉說:「《資通安全責任等級分級辦法》主要是因應網路威脅增加及技術發展提升,修正資通安全責任等級A級、B級和C級機關的應辦事項,並針對附表中的「資通系統防護基準」,配合實務需求而修訂許多條文。」

《資通安全責任等級分級辦法》將許多公務及非公務機關的資安責任向上集中,並將資安責任等級分成A級到E級,其中,資安責任等級E級機關就是不負擔任何資安責任的單位,相關的資安責任都是由上級機關負責。

相關條文的修訂,主要是強化A級、B級和C級的公務機關,以及非公務機關,這些單位要在規定的時間內,完成完成資安弱點通報機制導入作業,以及導入資安弱點通報機制。

此外,也針對更實務操作面規定的附表「資通系統防護基準」,針對「存取控制構面」、「遠端存取措施」、「稽核與可歸責性構面」、「營運持續計畫構面」以及「識別與鑑別構面」的相關措施中,制定更符合實務需求的操作規範。

為滿足GDPR法規適足性認定,臺灣積極成立個資保護專責機構

歐盟GDPR號稱是歐盟最嚴格的個資法規範,在2018年5月25日正式實施後,歐盟各國也必須以GDPR作為歐盟的個資保護的法律規範,目的在於排除會員國間的個資流通障礙、提升個資當事人權利,以及強化個資專責機關權限。

GDPR面對個資跨境傳輸的規定是「原則禁止、例外允許」,如果要將歐盟個資傳輸至歐盟以外國家,應符合GDPR的法規要求,包括:該國家取得適足性認定(Adequacy Decision);企業自主採行符合規範適當保護措施;獲得個資當事人同意等。

GDPR在正式實施後,與歐盟有密切往來的國家,像是日本、韓國、印度、拉丁美洲及歐洲鄰近國家等12個國家或地區,由該國政府機關出面和歐盟執委會談判,藉由適足性認定的方式,滿足雙方的個資跨境傳輸,可以符合GDPR的法律要求。

歐盟也是臺灣重要的貿易往來對象,在GDPR正式施行後,行政院則在2018年7月,指示國家發展委員會成立「個人資料保護專案辦公室,並將個資法的法律主管機關轉移到國發會;而為了達到GDPR適足性認定,臺灣也積極與歐盟進行適足性認定的談判。

國發會副主委高仙桂之前曾表示,因為2020年受到武漢肺炎疫情的影響,加上歐盟必須優先處理英國脫歐後與歐盟的互動,包括個資的跨境傳輸規範等,因此,臺灣與歐盟在GDPR適足性認定的協定談判中,一直沒有更長足的進展。

要滿足歐盟GDPR適足性認定,臺灣必須要有可以和歐盟接軌的《個資法》,並且具備獨立的個資監管機關,也必須簽訂相關國際協定或合約。

臺灣既有的《個人資料保護法》在2012年10月1日正式實施,條文內容也高度參考歐盟1995年個人資料保護指令,不過,歐盟在2016年以GDPR取代個人資料保護指令後,臺灣在幾次的個資法修正過程中,一直沒有做到成立獨立的個資保護專責機構,這也成為臺灣在進行GDPR適足性認定時的一大障礙。

達文西科技法律事務所主持律師葉奇鑫表示,國發會已經針對個資法的修法內容,進行一整年的討論,原本都預計在2021年第一季的時候,有機會送立法院審查。但是,他也說,目前行政院有意成立結合科技、資安、網路、通訊和傳播的數位發展部,甚至有傳言表示,也要將《個資法》的修法權利,從現有的國發會轉移到未來即將成立的數位發展部。

一旦《個資法》的修法單位可能產生變動,葉奇鑫說:「不敢保證過去一年針對個資法修法的討論內容,是否還可能保留,更無法確認個資法接下來的修法方向,是否會有變動。」

熱門新聞

Advertisement