【業鑫說法】法令遵循觀點之資訊安全【Part.1】

一、資訊安全為何重要？ 

過去多年來，企業內部資料庫暴露於網路的問題，國內外有多起案例，學界及主管機關一再提出警告，仍無法防止類似事件發生。過去我國亦曾發生旅遊業上市公司於民國 106 年 5 月間洩漏消費者個資，經消費者文教基金會提起團體訴訟，歷經三年餘的訴訟程序，在 109 年 7 月 7 日於臺灣高等法院民事庭成立調解，以業者與消費者和解並賠償之方式落幕。 

112 年第一季，國內就陸續發生了航空公司個人資料庫被駭客入侵的案件，導致包括副總統賴清德、台積電創辦人張忠謀及名模林志玲個人資料可能外洩的案件，後續又有共享汽車及百貨公司消費者個資外洩事件，由於直接涉及廣大消費者個人資料，各界再度對此議題展現高度關注。 

近期的案例甚至有駭客公然鼓動被洩漏個資的消費者對企業提起集體訴訟，對企業產生極大壓力。這種近似於恐怖攻擊的手法，對企業的商譽、品牌形象及消費者關係將造成傷害，更可能引來政府主管機關的注意，因此現在企業營運若不注重資安，萬一發生類似案件，損害將愈來愈難估計。 

二、我國法令如何規範？ 

我國關於資訊安全之法令規範，主要以資通安全法（下稱資安法）及個人資料保護法（下稱個資法）為兩大主軸。 

民國 107 年 6 月 6 日公布、108 年 7 月 1 日施行之資安法，統整國家資通安全機制，將國家整體資安工作正式法制化。111 年 1 月 19 日總統令公告數位發展部組織法，數位發展部為辦理國家資通安全政策規劃、計畫核議及督導考核，執行國家資通安全防護、演練與稽核業務及通訊傳播基礎設施防護，特設資通安全署，作為資安法之主管機關。 

資安法將依法行使公權力之中央、地方機關（構）或公法人（軍事及情報機關除外）及關鍵基礎設施提供者、公營事業及政府捐助之財團法人之特定非公務機關納管，後者包括各級政府獨資或合營者、政府與人民合資經營，且政府資本超過百分之五十者、政府與公營事業或公營事業投資於其他事業，其投資之資本合計超過該投資事業資本百分之五十者。 

資通安全署衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件，訂定資通安全責任等級之分級。

在資安法規範下，企業與受資安法規範之公務機關及特定非公務機關傳遞資訊時，亦應遵循資安法對於資通安全之要求。例如在 COVID-19 新冠肺炎流行期間，金融主管機關發函¹保險公會，要求保險公司倘因業務需求召開遠端視訊會議，其所使用之資通系統不應使用具資通安全疑慮的產品，例如 ZOOM，應以國內產品及共同供應契約所列品項為優先，保險如有於公務資訊之傳遞，應依據資通安全管理法等相關規定，落實有關資通安全防護措施。 

個資法規範所有的公務機關及非公務機關，後者指公務機關以外所有之自然人、法人或其他團體²，通通都是本法所定的「非公務機關」。而且只要涉及個資「蒐集」、「處理」及「利用」行為，均在規範之列。 

非公務機關蒐集或處理「一般性個人資料」，必須有「特定目的」，並且必須符合下列情形之一³： 

1. 法律明文規定。 
2. 與當事人有契約或類似契約之關係。 
3. 當事人自行公開或其他已合法公開之個人資料。 
4. 學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 
5. 經當事人書面同意。 
6. 與公共利益有關。 
7. 個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。

因此，企業蒐集、處理及利用個資，均受個資法嚴格規範。例如保險業者辦理電話行銷業務，均應於電話行銷前告知民眾如何取得電話，及詢問是否願意接受行銷，如消費者表達拒絕接受行銷時，應立即結束通話⁴。 

又如教材業者以贈品利誘學童提供個人資料，應遵守個人資料保護法相關規範，依誠實信用方法為之，應使當事人得以充分瞭解後審慎為之，是業者之告知方式應符合學童之年齡、生活經驗及理解能力，以容易理解、清楚簡單之語言或文字為之，並使該學童得以充分瞭解其個人資料之後續利用⁵。倘教材業者未完整踐行告知，或其告知對象無法充分瞭解其個人資料之後續利用，則可能違反個資法規定而受裁罰甚至求償。

綜上所述，企業可以參考以下現有法令規範來建構資訊安全法令遵循制度： 

1. 個人資料保護法

個人資料保護法是台灣目前最重要的資訊安全相關法令之一，要求企業遵守一系列個人資料處理的規定，包括明確告知個人資料蒐集的目的、處理的方式、保護措施等。 

2. 刑法中之妨害電腦使用罪等電腦犯罪規範

妨害電腦使用罪是針對電腦相關犯罪行為的法令，要求企業實施資訊安全控制，避免電腦犯罪行為對企業造成損害。 

3. 金融監督管理委員會所發佈的資訊安全管理規範

這些規定針對金融業者所涉及的資訊安全問題提出要求，包括資訊安全政策、組織架構、風險評估等。 

4. 國家資訊安全管理規範

資通安全法等相關規範是針對政府部門的資訊安全管理相關法令，但其中的許多規定也可以應用於企業的資訊安全管理，例如資訊安全風險評估、事件應變等。

重視法令遵循文化的企業，可以採取下列步驟落實資安法令遵循： 

1. 確定資安法令遵循的範圍

企業應該確定上述提及的法令中，哪些適用於其經營之業務，然後建立相應的政策和程序。這些法令包括國家法律、監管機構的指導方針、行業標準或客戶的合約要求。 

2. 法令遵循組織架構納入資安議題

企業應該在建立法令遵循的組織架構中，明確資安法令遵循的責任和權限。包括指定負責人負責監督資安法令遵循的計劃、程序和政策的執行，並確定員工的法令遵循責任和相應的培訓。 

3. 建立資安法令遵循的政策和程序

企業應該制定相應的資安法令遵循政策和程序，以確保資安法令遵循的實施。這些政策和程序包括資安風險評估、監測和控制措施、檢查報告和內部審計、合規性審查和評估，以及內部投訴和檢舉程序等。

4. 建立資安法令遵循的監測和評估機制

企業應該建立監測和評估資安法令遵循機制落實狀況，以確保法令遵循的有效性和及時性。這可以包括內部稽核、監察報告、風險評估和監控等方法。 

5. 建立內部資安培訓計劃

企業應該建立內部資安培訓計劃，以提高員工對資安法令遵循的認識和重要性，例如定期的培訓課程、模擬演習和實踐。

6. 定期評估、更新資安政策和程序

企業應該定期評估和更新資安法令遵循的政策和程序，以確保其與時俱進。定期評估可以發現缺陷和漏洞，以便及時加以修正。 

【註】

¹  金融監督管理委員會保險局保局 109 年 4 月 7 日（綜）字第 10904912542 號書函。 

²  個人資料保護法第 2 條第 8 款。 

³  個人資料保護法第 19 條、第 7 條；施行細則第 9 條、第 13 條、第 14 條、第 17 條、第 26 條、第 27 條、第 28 條。 

⁴  金融監督管理委員會保險局保局 106 年 3 月 2 日（壽）字第 10610900680 號函。

⁵  國家發展委員會 108 年 3 月 12 日發法字第 1082000384 號函。

作者：陳業鑫

更多陳業鑫律師相關資訊，都在【業鑫法律事務所】

接續閱讀：

法令遵循觀點之資訊安全【Part.2】



快來【午後人資，饗受新知】頻道、新知識主動來報到！