文/黃彥棻 | 2015-12-19發表

立法院在本周進行法案大清倉,包括通過「國家資通安全科技中心設置條例」和個資法修法,都是重要的資安事件。

圖片來源: 

iThome

這週呈現一個立法院法案大清倉的狀態。原本立法院第八屆第八會期的集會時間,應該是從9月1日~12月31日截止,但是,為了明年1月16日的總統暨立委選舉,各黨立委為了把握為時不多的選前衝刺黃金時間,便提前將立法院的休會時間提前到12月21日。也因此,為了對選民有交代,如同過往一樣,各黨紛紛趕在休會前,將朝野協商有共識的法案,趕緊送交立法院三讀通過。

本週有兩個法案和資安有直接相關,第一條就是通過「國家資通安全科技中心設置條例」,將現在隸屬行政院資通安全辦公室下的技術服務中心,改為成立行政法人「國家資通安全科技中心」,最快2016年1月就可以正式成立。第二條就是個資法修正案三讀通過,將原先暫緩實施的第6條敏感性個資和第54條告知義務的條文修正後解禁,根據法務部的規畫,該個資法修正案最快明年3月就可以施行。

資通安全科技中心隸屬科技部,政府應該支應相關費用

要成立國家資通安全科技中心,其實是為了配合現行將技服中心從原本負責政府機關第一線資安事件處理,改為作為第二線資安事件分析研究,可以更完整的掌握臺灣政府機關所面臨的資安事件全貌。

只不過,改為行政法人就得面臨一個資金來源的當務之急。之前立法院規定,3年內只能成立5個行政法人,技服中心則在3年內成為政府成立的第5個行政法人,負責政府資安事宜,業務範圍則包括:攸關國家安全而需對外保密或民間產業無能力執行的資安業務;提供管理與技術支援;第三方認驗證;人才培訓;資訊安全意識推廣;在遭遇資通訊攻擊或威脅情況下,支援及協助相關單位進行反制等,隸屬於科技部之下。

但是,現在許多行政法人除了部分的政府預算編列外,更大一部分甚至得要面臨自籌經費的問題,而資安一直是需要投入大筆經費和資源,卻不一定可以立即看到效果的投資項目。

如果,未來負責國家整體資安能量的行政法人,面對新上任第九屆的立法委員們,因為缺乏對於資安投資的概念,而要求國家資通安全科技中心必須要有幾成的自籌經費時,政府將該中心設立為行政法人的意義就會喪失。現任行政院副院長張善政很清楚,資安科技中心是政府必要的投資,即便無法立即看出成效,卻也不能殺雞取卵,要求資安科技中心必須自籌經費,反而忽略關注政府資安全貌的要務,甚至於因為要找錢而必須與民爭利。

張善政在制定組織法時,就刪除要該中心自籌經費的條款,法條中就規定,該中心的經費來源,除了以政府編列相關預算外,其餘就是捐助經費,不讓資安科技中心的成員擔心營運費用不知道該從何而來,藉此讓政府有健全的資安能量。

行政院為了來年的資安規畫和政策走向,也找了一些重要的學者和資安官員到苗栗進行兩天一夜的閉門會議,重點就是研究未來資安三級制應該如何推廣外,更重要的就是,未來資安科技中心的運作方向為何。

現在的技服中心是委外給資策會執行,中​​間若有一些經費因為預算卡關之故而無法如期拿到時,先前可以由資策會代為先行墊支,這也讓在技服中心工作的成員,不用擔心下一個月的薪水沒有著落。但是,未來獨立為行政法人後,擔任該法人的高階主管能否意識到「資安」的重要性,能否提供一個可以讓具有資安專才的專家們,可以安心在新的資安科技中心工作,還沒通過的薪資條例是一大重點,未來政府和高層主管對資安的理解和承諾,也將攸關該中心的發展方向。

放寬書面同意的嚴格限制,未來只要可以舉證當事人同意的意圖即可

個資法修法也同樣在本週的立法院院會中三讀通過,主要的改變在於,將原本暫緩實施的第6條敏感個資條文,以及第54條針對間接蒐集個資必須在1年內完成告知的條文解禁,明確將原本爭論不休的病歷視為敏感個資之一,未來針對敏感個資的使用,除了原先的條文規範外,更新增當事人書面同意,以及公務機關執行法定職務與非公務機關履行法定義務時,都可以使用這些敏感個資。

此外,確認病歷為敏感個資後,也同時放寬關於DNA基因的使用,藉由放寬的人體實驗法,若是病人因為醫療行為可以使用相關的敏感個資,讓許多罹患癌症或特殊疾病的病人,有另外的求​​醫管道。

修法中規定,現在讓許多人詬病的書面同意,除了敏感個資的使用必須很嚴謹,仍要求是書面同意外,其餘只要可以有同意的意思表達都可以接受,甚至於,交換名片只要拿到對方的名片時,就已經隱含對方同意給予他的個人資訊,就不要需要額外的書面同意。只不過,為了防止業者以不法手段濫用同意權,也嚴格要求業者必​​須負起舉證當事人表達「同意」的義務。

其他像是對於某些擁有大量間接蒐集個資的產業而言,不再需要在個資法施行1年內,完成對當事人的告知義務,只需要在使用前告知當事人即可,都讓個資法的內容更為務實。

對許多產業而言,不一定會使用到敏感個資,也不見得擁有許多間接蒐集的個資而必須負起告知義務,但是,一定都會面臨到原本個資法規定書面同意帶來的複雜與麻煩,未來修法放寬告知的範圍之後,不論是簡訊、語音、網頁甚至是App等等,只要業者可以證明當事人有同意的意圖,就可以順利使用當事人提供的個資。

但是,許多人對於個資法還是有不當誤解,只要是違法詐騙欺瞞而取得的個資,都不成立,所以當事人不用擔心,因為業者違法行為而導致個人權益受損,但政府卻不站在民眾這邊。

不論是成立新的科技資安中心或者是個資法的修法,本質上面,都是為了確保國家資安能量的充沛,以及民眾個資可以被妥善合法的使用。就法的角度而言,對於政府發展和多數民眾的權益保障都是具有正面意義,但隨著未來新上任的立委們,是否願意多花心力在看不到的資安實力與無形​​的民眾個資權益保障等,都還需要時間觀察。

本週重要資安事件回顧:

法務部:個資法修正案最快明年3月實施

天才駭客GeoHot寫2000行程式碼自製無人駕駛DIY套件

國家級監聽工具也開源!英國政府釋出間諜軟體,引爆駭客社群論戰

美國眾議院在預算案偷渡CISA網路安全法案,危及大眾隱私

適用於28個會員國的歐盟新資料保護法出爐

英國警方逮到涉嫌入侵VTech的駭客了
 

 

iThome Security

熱門新聞

Advertisement