從稍早前媒體報導及跨黨派立法委員揭露、質詢臺灣戶籍資料疑似外洩的問題,到1月9日衛生福利部中央健康保險署葉前主任秘書、承保組謝姓科長等人疑涉及將全民健保資料外洩至中國遭檢調搜索約談,行政部門接連爆發人民個資外洩議題,一時成為社會矚目之焦點。然而,我國對公務機關的個人資料、資通訊安全保護卻可能與一般民眾認知不盡相符。
《個資法》宜速修定
在個人資料保護部分,《個人資料保護法》主管機關為國家發展委員會(以下簡稱國發會),不過實際上國發會僅設立「個人資料保護專案辦公室」作為專責單位,預算人力、獨立性及層級均仍嫌不足,本人坦言若非曾因業務需求甚至不知國發會有設立這專案辦公室。經司法院憲法法庭111年憲判字第13號健保資料庫釋憲案,憲法法庭既已明白宣示我國《個資法》及相關法律欠缺個人資料獨立保護監督機制違憲,雖尚有約兩年半緩衝期,我呼籲行政及立法兩院儘速提出個資法修正草案並籌設個資保障獨立機關,建議為中央二級(或三級)獨立機關並直屬政院,以落實保障公民個資相關權益。亦是執政黨採取事後補救之有感改革法案。
而國家安全法律部分本人不敢稱太熟悉,但坦白說肯定有不少可檢討之處,若健保資料案真如《鏡週刊》報導披露已將國安高層及情報系統人員資料出賣予中國情治人員,政府需重新通盤檢討《刑法》外患罪、《國家安全法》、《國家情報工作法》、《反滲透法》、《臺灣地區與大陸地區人民關係條例》有關公務員赴中國規定等法律及其罰則,以預防嚇阻類似影響國安重大之犯罪行為。
數位部責任重大
《資通安全管理法》近期固然未修正,查其法規沿革及行政院公告意外發現默默已將大部分法律主管機關移交數位發展部(簡稱數位部),亦即除了「關鍵基礎設施及其提供者」定義、「國家資通安全發展方案」制定、施行日期等少數職權仍留在行政院外,其餘權責幾乎已改由數位部管轄。數位部身為主管機關,唐鳳部長理當不能一句全力提供資安技術支援、配合偵辦即可輕輕帶過,有權積極監督衛福部健保署及內政部將資通安全事件之通報、調查、處理及改善報告(該法第14條)送交上級或監督機關及數位部。除非資料外洩完全不涉資通安全才與數位部無關。
最後,總統推動資安即國安,各公務機關之資通安全長依《資通安全管理法》第11條由機關首長指派副首長(即副院長、次長、副署長)或適當人員兼任,資通安全長通常非資通訊安全或資訊專業,卻必須肩負起監督治理資安之責任(註:資安並非純資訊單位事務,推測因副首長或主秘級主管方有充分權力要求業務單位遵循資安保護)。本文著重制度結構無意針對個別人士,卻同樣期盼莫讓政府資安長制形同虛設。
- 杜蘇芮、卡努颱風假,放對了? - 2023 年 8 月 4 日
- 從戶政到健保資料外洩案看我國個資保障 - 2023 年 1 月 18 日
- 我們需要什麼樣的氣象法? - 2018 年 7 月 19 日