首設部長級資安首長，澳洲如何用資安政策發揮國際影響力

今年澳洲政府新增了資安部長一職，是G20中唯一設立部長級資安主管的國家，更為詐騙、隱私、網路人身安全等重點資安議題成立專責監管機關，並由總主管機關每年發布官方資安威脅報告，列出通報資安案件趨勢及應對建議。

澳洲資安法規發展成熟，也曾成為臺灣擬定相關法案時的參考對象，例如管制通訊戰的《境外勢力影響透明法》草案，就有參考澳洲《2018 外國勢力透明化法案》。不只如此，蒙納許大學犯罪學副教授張耀中說，澳洲於不少臺灣有加入或往來意願的國際策略聯盟中，都積極提倡資安，來發揮國際影響力。

舉例來說，澳洲在評估臺灣是否應加入CPTPP時，便將資安成熟度作為重要標準。在ASEAN和PIF等組織中，澳洲更扮演著資安建設和資安成熟度評估的角色。張耀中說，臺灣在與中國競爭國際組織加入權時，資訊安全是一個重要籌碼，因此澳洲對資安的態度與做法，不只是資安教材，更是外交教材。

監管機關分工細緻、重視民間資安意識和關鍵基礎設施，甚至協助他國建立安全網路硬體環境

澳洲網路安全中心ACSC隸屬於國防情報局，2014年成立，早於其他主管機關。ACSC統管所有資安相關議題，包括受理資安通報及制定資安政策，每年也會發布《年度資安威脅報告》，供澳洲資安產官學界參考。

隨著資安議題受到更多重視，澳洲其他政府部門紛紛於旗下設立了資安管轄單位，包含競爭及消費者委員會ACCC旗下的Scamwatch，專門管轄網路詐騙等犯罪；澳洲通訊與媒體管理局旗下的eSafety Commissioner，管轄例如兒童安全、復仇色情、深度偽造、網路霸凌等人身安全案件；以及司法部旗下的Office of the Australian Information Commissioner，管轄數據防護、隱私及侵犯案件。

張耀中以ACSC發布的《2021 資安威脅報告》及其資安政策，來說明澳洲近年資安政策發展及重視的資安議題。

ACSC觀察，澳洲2020年歷經了兩百多天的封城，因此利用疫情議題進行釣魚攻擊的通報數大幅增加。同時段，商務電子郵件詐騙情形加劇，且往組織化攻擊發展，讓澳洲政府更加積極提倡民間資安意識。

張耀中說，澳洲政府相當重視資安教育，時常發布提醒民眾提升資安意識的宣傳廣告。澳洲內政部2020頒布的《澳洲網路安全策略》中，更宣布加碼16.7億澳幣，來加強10項資安措施，超過一半項目與強化企業及民眾的資安意識有關。
這些措施包括：增加資安時事敏感度及分享威脅資訊的效率、增加社群資安威脅意識、透過資安計畫加強與企業合作力度、為中小企業提供資安諮詢、對企業和消費者宣導物聯網資安重要性、提供中小企業及一般家戶24小時資安諮詢熱線等。

澳洲資安法規發展概覽，重視基礎設施防禦及國外勢力滲透

2020年澳洲另一大資安威脅是關鍵服務及基礎建設遭受攻擊。據ACSC統計，他們接獲的網路威脅通報案中，約25%與澳洲關鍵基礎設施有關。值得注意的是，澳洲政府視高等教育機構為關鍵基礎設施，且高等教育機構因握有與政府合作的研究案及高階公務人員培訓資料，近年頻繁成為國家級駭客攻擊標的。

張耀中說，雖然澳洲從未表示這些國家級駭客主要來自哪裡，卻用行為透露出他們主要防備對象。2018年起，澳洲全面禁用華為裝置及5G設施。不僅如此，他們還積極遊說邦交國不用華為網路設施，並提議協助自行建立網路基礎建設，來聯合往來國家一同拉起資訊安全的封鎖線。

不只對外利用外交手段來防禦國家級駭客攻擊，澳洲2018年也設立了《關鍵基礎設施安全法》、《間諜與外國干預法》及《外國勢力透明化法案》，以建立國內基礎設施資安即時通報和潛在國外勢力入侵管理機制。

《2018 關鍵基礎設施安全法》（The Security of Critical Infrastructure Act 2018）規定關鍵基礎設施有義務通報網路事件。此法規定義11類關鍵基礎設施，包括通訊傳播、金融及市場服務、數據儲存或處理、國防、高等教育及研究機構、能源、食物及雜貨、保健及醫療機構、太空科技、交通、水利設施等。相較之下，臺灣定義的關鍵基礎設施為能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區8大分類，不包含教育研究機構和數據服務等資安相關領域。

規定通報義務，有利於澳洲政府評估基礎設施資安風險。隨著關鍵基礎設施遭受攻擊的通報持續增加，澳洲當局也在《2020 澳洲網路安全策略》10項投資項目中，設立了加強關鍵基礎設施防護以及加強政府機關網路跟資料防護兩條項目。2022年，澳洲政府進一步追加行政規則，定義執法細節，並更加強硬的要求基礎設施通報。

《2018 間諜與外國干預法》（Espionage and Foreign Interference Bill 2018）和《外國勢力透明化法案》（Foreign Influence Transparency Scheme Act 2018），則是參考參考美國《外國代理人註冊法》，規定外國資助的活動項目必須登記並持續通報。張耀中以自身情況舉例，他從臺灣申請經費到澳洲研究時，就會有通報義務。他補充，此法規是報備制而非審核制，因此只要項目負責人依照義務通報，活動內容通常不會受到澳洲政府干預。

張耀中指出，儘管普遍認知上，這兩條法律是用來預防極權國家滲透，不過澳洲執法時會針對所有國外資助的活動項目，且戰略上也沒有明確假想敵，因此此法並未引起太大爭議。「反觀臺灣的戰略情形特殊，制定類似法規時，需要考量得更周全。」

另一項澳洲近年強調的概念是資安GEDSI（性別平等、殘疾及社會包容，Gender Equality, Disability and Social Inclusion）。張耀中解釋，隨著IoT科技開始成熟，智慧家庭跟智慧汽車等產品逐漸普及後，澳洲發現大部分設定或安裝這些設備的人以男性居多，因此更加重視性別在物聯網資安領域的角色。他舉例解釋資安GEDSI，像是汽車駕駛知不知道自己的路線能被家人監控？智慧家庭設備是誰控制的，我能不能調整設定？現在澳洲已經會鼓勵廠商將這些GEDSI相關的資訊在產品說明中揭露。

不只國內大力推行GEDSI，澳洲還有意將此概念大力推廣到其他國家。澳洲外交部在資安和關鍵科技合作計畫CCTCP中就有強調GEDSI，作為協助ASEAN及PIF會員國建立資安基礎能力時的一個面向。

澳洲資安法規也有負面教材，竟提供政府「查水表」法源依據

澳洲資安法規雖然較早發展，但也有不值得效仿的做法。張耀中舉例，《協助及存取法案2018》（Assistance and Access Act 2018）是澳洲一條備受爭議的法案。此法大意是，安全或執法部門可以要求在澳洲營運的企業協助，解密並存取特定個人的通訊資料，而不被當事人所知。執法者更能直接將硬體沒收，存取裡面的資料。「簡單來說，企業所有軟硬體都要開後門給政府擷取資料。」張耀中直言。

這個有政府濫權嫌疑的法律，不僅影響澳洲國內企業，更有可能影響在澳洲有營運據點的外國企業。張耀中舉例，在五眼聯盟加盟國（紐、澳、英、美、加）中，若其他4國政府調查犯罪時有需要調取特定企業資料，而這個企業在澳洲有據點，便能透過澳洲政府輕鬆取得解密後資料。