我在2018年6月7日去聽 PChome 的詹宏志董事長的演講,他在演講中提到過去PChome被 DDoS 攻擊的事件。當他知道公司網站受到攻擊時,他不知道該向誰通報,只好藉由他的人脈網來尋求協助,當然也取得協助,並在他的考量下,儘量降低對公司聲譽、消費者權利的風險。
台灣發生過的真實案例
當我聽到這個經驗後,心中一直有個疑問:「當大企業遇到 DDoS 時,有內部資安管理人員全力處理。但若中小企業遇到 DDoS 時,除多功能的資訊服務團隊外,又該如何應對?」
2007年的博客來網站因為金馬影展的售票資料庫因為人為疏失,造成大量個資外洩,但因為當時的《電腦處理個人資料保護法》(即現在的個資法)還不是很完善,所以對當時的博客來而言並未有很嚴重的懲罰。
之後隨著網路愈來愈普及,網站因遭受攻擊造成資料外洩的事情愈來愈多,從會員資料庫外洩到癱瘓公司系統甚至導致醫療系統或網站癱瘓。,大家也開始藉由網路媒體教學,當自己的資料外洩,或是私密影像被惡意傳播時,就會先去警局報警備案。
在台灣,因為各目的事業主管機關的權責範圍不同,在沒有成立數位發展部(數位部)前,網路商店發生資料外洩時,可能會先找經濟部、國家通訊傳播委員會(NCC);在成立數位發展部後,就把所有責任給數位發展部。讓我很感慨的是2023年的醫指付個資外洩事件,就看著衛福部、經濟部、數位部、金管會四個部會互踢皮球,都不認為自己是應該負責的目的事業主管機關,最後由金管會處理。
歐盟GDPR實施後對全球企業的影響
台灣的人權團體長久以來不斷倡議台灣需要獨立的個人資料保護機構,這件事我一直都沒忘,甚至是在討論《數位中介服務法》草案時,這部法的草案已經將個人資料保護機構應做的事已規劃至其中。可惜的是因為政治操作,這部法案就被遺忘了。
我在 2022 年開始蒐集全球個資保護與隱私保護的案件及觀察全球人工智慧、個人資料法規發展,我觀察到,台灣與收集的案例的最大不同處在於,與其他國家比較,台灣沒有獨立的個人資料保護單位,自然當其他國家在談資料跨境傳輸協議、人工智慧發展政策與規劃時,台灣沒有對等的單位可以參與討論,也許數位部同時身兼這樣的角色,但就不是前段所提到的「獨立」的權責機關。
歐盟的GDPR自 2018 年 5 月開始實施後,許多國家開始思考擁有資料保護及所有權的重要性而紛紛立法外,GDPR也對全球企業造成很大的衝擊,簡單來說,它要求歐盟會員國各國政府與企業需要設置專責的資料保護單位,如果國外企業要與歐盟裡的企業做生意,也要有同樣規格的個資保護程度以保護歐盟人民的個人資料,如果企業委由第三方單位,或經過第三國的企業處理或傳輸資料,這些第三方單位、第三國家的企業也要有同樣規模的資料保護水準。
很多人可能會注意到美國 Google、Meta、OpenAI這些科技企業已經陸續因不符合 GDPR 規範而被制裁的天價金額,而在我所收集的案例中,也有許多歐盟內的企業因為注意到第三方單位也要符合資料保護的規範受到處罰,也見到不少歐盟內有些國家中小企業無力承擔罰款金額,或是無能力設置資料保護單位而受到處罰的案例。
其他國家個人資料保護單位
(1)韓國個人資料保護委員會
韓國政府在2011年成立「韓國個人資料保護委員會」,在 2013 年制定韓國的《開放資料法》,自 2020 年開始修訂韓國的資料三法韓國資料三法:《個人資料保護法》、《信用資訊法》、《資訊通信網路利用促進及資訊保護法》,在2024年2月發布《人工智慧時代個人資料安全使用政策指引》,陸續成立相關的人工智慧發展小組、個人資料 MyData 的應用試驗場域規劃等。
(2)美國加州隱私管理局
在歐盟推出 GDPR後,美國加洲隱私管理局(California Privacy Protection Agency,CPPA)推出保護程度不低於 GDPR 的《加州消費者隱私保護法案》(California Consumer Privacy Act,CCPA),美國其他各州也陸續推出隱私保護法案,這也推動後續在拜登總統任內,參眾兩院曾於2024年 4 月曾要推出聯邦等級的《美國隱私權法案》(American Privacy Rights Act,APRA)草案,禁止大型科技公司在未經人們知情和同意的情況下跟蹤、預測和操縱人們的行為以獲取利潤,允許使用者存取、修正、刪除和匯出自己的資料,且需強制執行嚴格的資料安全標準,以防止資料被駭客攻擊或竊取,減少身份被竊盜及相關侵害的機會,此法案亦規定資料經紀人、資料經紀公司需維護一具親和力、符合網站無障礙標準之公開網站,於網站中標明該實體為資料經紀人,且該法若通過後將優先於各州隱私權法案。
近期在加州隱私管理局網站上有一則本田汽車違反《加洲消費隱私保護法》,被CPPA處罰632,500美元,這大概是2025年第一次看到因為違反CCPA而受到處罰的案例。
(3)英國資料委員辦公室
英國的個人資料保護單位是「資料委員辦公室」(Information Commissioner's Office,ICO) ,除受理英國境內個資保護案件,從裁罰拒絕被電話直接行銷到處理個人資料外洩到不當使用資料。近期也有因為軟體供應商的資安保護程度不足,造成79,404 人的個人資訊外洩外,還因為駭客攻擊癱瘓國家救護網路,而與資安單位合作調查,也處罰軟體供應商 307 萬英鎊。
這個單位還與英國的通訊管理局(Ofcom,類似台灣的 NCC)、競爭與市場管理局(CMA,類似於台灣公平交易委員會)、金融行為監管局(FCA,類似台灣金管會)組成「數位監管合作論壇」(Digital Regulation Cooperation Forum,DRCF),這個論壇是這些單位成員們彼此交流討論來因應數位時代的治理議題,甚至也提供企業遵守法規的諮詢與協助,這個論壇還不定時發布研究報告,領域涉及數位資料與區塊鏈、生成式人工智慧與金融監管、合成資料與社群媒體等跨領域合作,四個單位輪流當主席。
題外話,澳洲也受到英國 DRCF 的啟發,由澳洲競爭與消費者委員會(ACCC)、澳洲通訊與媒體管理局(ACMA)、電子安全專員(eSafety)與澳洲資訊專員辦公室(OAIC)也組成「數位平台監管論壇」Digital Platform Regulators Forum (DP-REG)。
所以也知道澳洲也有專門處理資料及資安的單位,不過我也無法理解為什麼台灣無法組成這樣的跨單位組織,甚至可以成立一個臨時辦公室來做這樣的平台。
台灣終於要成立個人資料保護委員會
在 2023 年 12 月,終於看到「個人資料保護委員會籌備處」,法制環境進度已落後其他國家非常多。 2024 年 5 月,在這個部落格中有 3 篇文章在談歐美及亞太地區國家已經有哪些與資料治理、人工智慧科技發展的規劃:
因為以上 3 篇文章及前述的內容,我就不再贅述成立獨立的個人資料保護委員會有多重要。往昔可能是人權團體倡議成立獨立的個人資料保護單位,可以保障人權,從國際間的發展趨勢可以看出,各國的資料保護單位不僅是維護人權,也是科技發政策與法規的重要單位。
年初在台灣政黨立委的不良政治鬥爭下,一度要刪減「個人資料保護委員會籌備處」,所幸是被撤回,且在上個星期看到行政院已公告通過「個人資料保護委員會組織法」草案及「個人資料保護法」部分條文修正草案,在新聞稿中已知這個單位將成為統一受理個人資料保護案件通報的單位(就不會再發生不知道要向誰通報,也能減少各目的事業主管機關互踢皮球的情況),同時這個單位還負責科技應用研析及人才培育等功能。
雖然還要等立法院那些不顧人民權利的立委們與利害關係人磋商,但非常期待這個單位可以在今年8月成立,讓台灣有一個獨立且明確的資料保護單位,保護人民的權利及趕快追上國際的法制進度。
- 註1:文章內韓國的法制進度、美國CPPA是參考自我去年在台灣經濟研究月刊 (第47卷第6期)寫的文章:「完備資料治理政策打造有利數位經濟發展之法規環境」,有興趣的人可以去圖書館借閱。
- 註2:圖片由 OpenAI 的 DALL·E 生成,產生於 2025 年 3 月 30 日。
留言
發佈留言
請勿匿名留言,待審核後才會出現。