【29】資安的原罪 ch.4-3 政府與法律規範

除了民間學術與企業組織持續努力外，政府亦積極推推動政策、法規規範來強化全體資安。

台灣國家級單位組織

🔹 數位發展部資通安全署（Administration for Cyber Security, ACS）

ACS（資安署） 負責政策統籌與法規制定，是最高主管機關。

• 隸屬行政院，為全國資安政策的最高指導單位。
• 統籌全國資安政策、資安法規、推動資安治理制度。
• 管理政府機關資安防護、事件通報、演練等。

🔹 國家資通安全研究院（National Institute of Cyber Security, NICS）

NICS 為技術研發與政策智庫，提供政府決策技術支援，亦與學界合作。

• 前身為「行政院資通安全研究院籌備處」，2023 年改制為法人研究機構。
• 資安技術研發與威脅情報分析。
• 協助資安產業發展與技術驗證。

🔹 國家資通安全通報應變中心（National Information and Communication Security Center, NCERT）

NCERT 負責橫向整合部會、產業間的資安資訊流通與應變機制。

• 負責建立與管理台灣的資安事件通報與應變機制。
• 統整跨部會、跨產業資安資訊，提升國家整體應變能量。

🔹 台灣電腦網路危機處理暨協調中心（Taiwan Computer Emergency Response Team / Coordination Center, TWCERT/CC）

TWCERT/CC 是負責實務應變與國際協作的資安事件處理單位，同時提供民間資安支援。

• 提供威脅通報與漏洞揭露服務。
• 維運資安通報平台。
• 與國際 CERT（如 US-CERT、JPCERT）合作，參與全球資安情報共享。

🔹 金融監督管理委員會（Financial Supervisory Commission, FSC）

FSC 聚焦於金融資安，具監理與規範權。

• 管理與規範金融機構資安相關法規與機制^1。
• 推動金融資安評鑑制度、雲端資安監控基準^15。
• 強化金融資安聯防機制^16。

🔹 資策會（Institue for Information Industry, III）

III 為產業推動角色，與政府機關、學術界、企業聯手強化資安量能。

• 負責推動國內產業數位轉型與創新應用。
• 科技法律研究所 與 資安科技研究所 共同支援資安產業發展。
• 推動產業資安技術、資安演練與人才培育。

政府的角色

政府扮演關鍵推動者與整合者的角色，投過政策制定、技術支持、法令規範到產業推動，能夠有效引導社會前進方向，以下列出些近期與資安相關的政策實踐例子：

引導協助

引導並協助企業及民間機構：

• 鼓勵民間機構加入資安防禦聯盟，建構橫向資訊共享與區域聯防機制，以強化整體社會數位韌性。^31 ^10 ^13
• 推廣資安法律、技術與產業發展，協助產品通過安全驗證與標準檢測。^24 ^37 ^38
• 設立資通安全績效獎勵辦法，提升資安治理誘因。 ^30
• 邀請業者參與防詐工作，例如網路服務商共同打擊犯罪。 ^24

責任標準

政府透過立法明確資安責任標準：

• 要求企業資安事件需通報，並負起賠償與補救責任。^5 ^22 ^23 ^32 ^40
• 訂定資安產品應符合的安全標準，禁止使用具有資安風險的設備。 ^39 ^12 ^27 ^6 ^25
• 推動實名制與「KYC（Know Your Customer）」原則，強化身分驗證機制，降低匿名犯罪風險。 ^24
• 制定資安管理準則，強化企業治理與稽核能力。 ^18

打擊犯罪

政府執法機關負責防制網路犯罪、維護個人隱私及資通環境安全：

• 摧毀網路犯罪基礎設施。 ^3 ^4 ^8 ^11 ^2 ^35 ^41
• 逮捕網路犯罪份子。^7
• 摧毀惡意程式。^36

台灣目前與資安相關的常見法律

妨害電腦使用罪（刑法第358至363條）

• 非法侵入電腦或系統資源
• 未經授權變更、刪除或干擾電磁紀錄
• 傳輸電腦病毒或其他有害程式
• 蓄意破壞電腦系統或儲存資料

資通安全法

• 建立資安責任等級制度
• 規定資安事件的通報機制與時效
• 要求設置資安管理機制與防護措施
• 建構政府資安治理整體架構，強化跨部門協調應變能力

電子簽章法

• 針對電子簽章的法律效力與安全機制進行規範
• 涉及身分認證、交易安全、數位憑證等應用層面
• 確保在電子交易中的可信度與法律保障

妨害秘密罪（刑法第315至319條）

• 使用工具或設備窺視、竊聽他人非公開之活動、談話、隱私部位等。
• 錄音、錄影、拍照或以電磁方式竊錄前述內容。
• 意圖散布、販售竊錄內容者。

隱私與智慧財產權保護相關法規

台灣《個人資料保護法》雖具備一定保障，但在跨境傳輸與資料主體權利保障上，與 歐盟GDPR 相比仍有待補強，目前已提出修法草案，方向包括明確化同意機制、提高違規罰責、以及設立個資保護機構等。

✍️ 筆者心得

可以觀察到，全球各國政府正積極發揮其角色與優勢，透過立法與政策逐步改善資安環境；執法機關之間的國際合作也愈加頻繁，對跨國網路犯罪的打擊成果令人振奮，展現出希望與可能性。

筆者也提供一些想法：

1. 擴大全民參與

現行法規主要著重在對企業或組織的照顧、督導與協助，較少針對一般民眾。除了持續要求企業負起資安責任外，可以考慮將一般民眾納入資安治理體系，例如制定適用於一般民眾的資安事件通報與處理辦法；推動資安標章制度，讓消費者可依標章選擇具安全保障的產品或服務等。當全民皆具備基本的資安意識並積極參與，也許就能主動促使企業提高資安水準，形成正向循環。

2. 資源整合、化繁為簡

目前資安強化多依賴各機構自行建構能力，難免容易產生資源重複、效率低落的問題。也許可以嘗試一些方向，像是由政府主導培育「中央資安部隊」，具備規模與資源優勢，強化技術實力並促進經驗交流，並提供如資安事件應變支援、滲透測試等共享型服務，降低單一單位的負擔。若各單位各自為政、資源分散，很難發揮出有效防禦；但若能集中資源、統合力量，則有機會打造出真正具備高強度防護力的壁壘。

3. 打造國際防線

面對跨國網路犯罪，單一國家的防禦往往難以全面應對，因此建立穩固的國際合作機制至關重要，可以考慮建立「資通安全聯防聯盟」，簽署跨國合作備忘錄（MOU），共享情資與技術資源，推動跨境犯罪引渡協定，共同對抗來自特定惡意國家的威脅。與其單靠提升防護力，從源頭打造一個網路犯罪不利於滋生的國際環境，或許更具長遠效益。