台灣公務個資外洩頻傳,近期最駭人聽聞的莫過於去年戶政資料遭駭,超過2357萬筆資料在國外論壇上兜售,以及近日爆出健保署前主秘葉逢明涉竊取健保資料長達13年。
民進黨立委洪申翰、劉世芳、賴品妤、莊競程今(18)日共同召開記者會,要求數位發展部不能消極坐視重大資安事件一再發生,必須擔負起公私部門資安的統籌角色。
2016年迄今至少爆發8起公務機關個資外洩事件
劉世芳整理我國公務機關個資外洩事件,從2016年開始至今已有8件,近期則有2022年戶政資料資駭並在國外論壇公開兜售、部立桃園醫院採用中國醫療資訊系統遭駭被竊取個資與一戶資料,到近期健保署前主秘葉逢明涉嫌竊取民眾及情治單位健保資料達13年,還有華航會員資料庫被駭,包含副總統賴清德、台積電創辦人張忠謀,及名模林志玲等資料全部外洩。
劉世芳質疑,行政院資安會報數位部成立至今,理論上應該開過兩次,數位部是否曾在行政會報上提出檢討、精進或改善計畫?此外,戶政系統與健保署的資料庫系統在行政院的定義屬於A級機關,請問數發部成立至今行政作為做了甚麼?「我看不到,也沒聽到,我們只知道所有人要『零信任』」。他提醒,野火會燎原,如果一直發生個資外洩,只會失去民眾的信任。
洪申翰:很多人會質疑為何要成立資安署
洪申翰表示,台灣一再發生重大資安事件,不能在把這些當成是個案,有沒有哪個部會可以說明、診斷台灣的資安問題?而不是每次各部會都只回應「不是從我這邊直接外洩」,這樣的回答說服不了人也無法讓人接受。
他點名,去年8月數位發展部成立後,資安事件要改向數位部資安署通報,照理來說數位部資安署每件事情都應該清楚,不要把責任往個別的主管機關推,但直到昨(17)日數位部部長唐鳳還是只說,如果技術問題需要協助的話,數位部可以提供,到現在數位部都只是輕描淡寫地回應,「我想很多人都會懷疑到底為甚麼要成立資安署?」
洪申翰批評,數位發展部應擔起政策統籌的責任,而不是好像只是一個「技術外包單位」,數位部應夥同國安單位,把國家的資安體質掌握清楚,提出強化資安的戰略計畫。
數位發展部是行政部門,不是技術外包單位
賴品妤強調,他從去年追蹤全台2300萬筆戶政資料外洩,就不斷要求要召開跨部會的資安會報,而且要有一個機關去專責這件事情,但政府有沒有認真面對一直都是個謎,相關部會的態度都是曖昧不清、互踢皮球,甚至有些部門堅持問題不完全出在政府身上,還惱羞成怒,在審查預算時還有官員摔麥克風。
他指出,去年憲法法庭就已經宣告,台灣個資缺乏獨立監督機制,對個資的保障監督機制不足。當時健保署長還說「保障個人個資和隱私權一向是健保署最重視的地方」,但這次發生問題的就是號稱最重視個資和隱私的健保署。
賴品妤也將矛頭對準數位部,「你們是行政部門,不是技術外包單位」,現階段必須擔起公私部門的統籌協調角色,不能繼續坐視重大資安事件一再發生而不解決。
個資頻外洩,《個人資料保護法》有用嗎?
莊競程則提醒,政部門必須建立標準化的資安防護,並且延攬專精、專責的人才,根據統計2021年全國公務機關的資安專責人員缺口有900人,數位部成立也應該著重人才培育,有人才能做事,補上缺口就是降低資安的風險,即便委託外部廠商,也至少要有監督的專業能力。
另一方面,劉世芳也質疑,《個人資料保護法》涉及民事、刑事,甚至可以用國家賠償法,經查過去只有一件單一的個案,所以過去十幾件公務機關個資外洩事件到底有沒有被個資法保護到?政府在資安的連防上其實是失靈的。
賴品妤也說,國發會須盡可能讓所有民眾知道自己個資被外洩的事實,目前根據《個資法》第12條規定,公務機關洩漏或侵害個資時,需要「查明」後才通知當事人,他認為需要放寬「通知」的限制,朝有外洩疑慮時就通知當事人的方向發展。
