個資安全不等於資訊安全
面對 iRent 事件,提出個資保護專責機構的訴求簡單易懂,但真的能解決問題嗎?
iRent 個資外露案引起關注,時代力量邱顯智立委與民進黨的賴品妤、劉世芳、莊競程及洪申翰分別召開記者會,兩者都訴求成立個資保護專責機構。這樣的訴求簡單易懂,但真的能解絕問題嗎?
從事政治工作以來,最大的困擾之一就是,政治人物們常常沒有辦法搞懂「個資安全」跟「資訊安全」是兩件相關,但本質上不同的事情。
我是一個三十多歲的人,在我們的小的時候,Wintel 電腦才剛開始普及,雲端資料庫還不是公私部門普遍存儲資料的管道,但那時候有沒個資問題?有,而且很嚴重。因為學校都會把你的姓名、電話、住址、名次外流給補習班,你永遠都會收到補習班的騷擾電話,問你要不要來補習。
這是不是個資安全問題?是。
是不是資訊安全問題?可能不是。因為他很可能不是透過網路外洩,而是透過實體的紙本交付。
前年台北市爭議很大的台北通,有的人說是個資問題,有的人說是資安問題。其實從個資跟資安兩個角度下去看,看到的核心問題是不一樣的。
以個資的部份來說,按理來說,一般的授權機制是「核心授權」+「附加授權」,例如你的手機,當你使用相機app的時候,它才會問你是否同意授權該app使用相機功能。但臺北通的設計機制不是,它是一開始就要你提供全部個資使用權限的空白授權,無論它是不是能夠用到。這樣的空白授權給了台北市政府很大的權限。它是否會引發濫用?這是個資使用上有疑慮的部份。實際上,北市府也確實有濫用的情況發生。
在資安的部份則是,台北通實際上的設計,就是要拿來作為數位身分證使用。但它跟自然人憑證、健保快易通等有大量個人資料存取、交換可能的機制相比,資安防護的等級是相對較低的。甚至連高虹安反對的數位身分證,它的資安防護等級都比台北通高很多(但高虹安卻打算在新竹引進台北通)。作為一個 eID ,台北通甚至在推出時也沒有取得一般涉及個資的 APP 會主動取得的 MAS 標章。
確實,個資保護的議題興起,與資訊系統使用息息相關。因為在數位化的時代下,各種個人資料的使用、傳輸、散布更為容易。
但是前面兩個例子說明了,資安與個資不一定是同一個問題,因為資安的核心業務是關鍵資訊系統的保護,但個資的關鍵是授權使用。
再舉一個例子,是最近也越來越氾濫的私密照傳佈,這種自然人刻意違背當事人授權、或詐欺取得資料進一步傳佈的行為,嚴格來說並不涉及任何資安議題,但卻會涉及個資法的罰則。
這種個資跟資安兩個面向交互相關的現象,也在 iRent 會員資料外洩的議題上出現。
iRent 事件的本質,是個人資料沒有做好資訊安全防護。如果你只朝成立個資保護專責機關的角度去做,那保證是沒有效果的。因為個資保護通常是法務體系的責任,法務體系的人其實沒有能力確認那一個層級、類型的資安措施是可以保護這些個人資料的。
反過來其實也是一樣,資訊人員可能懂資安,但卻不一定可以理解那些資料是個資,哪些是合理使用,哪些是民眾授權的使用範圍。
這是目前個資保護處理上的關鍵難題。
以個資保護來說,我們很難想像有一個「專責機構」能夠處理各行各業、各級政府機關的個資問題,因為那個案量龐大到你無法想像。即便成立這樣的機關,恐怕最後的功能也只是原則性指導、人力資源跟爭議案件裁處而已,實際上要能即時反應仍需要仰賴各部會內建置專責的個資管理及監察單位。
就我個人的角度來看,個資法的問題在於它罰則輕,而不是主管機關分散。但如果要朝主管機關的角度來談個資保護,那麼這個個資管理及監察的主管機關或單位,需要同時具備兩個能力,一個是判別何種資料屬於個資,何種使用方式合乎或違反個資法的能力,另外一個則是資安的能力。
談到資安,就涉及數發部的權責。撇開這個尚不存在的專責機構,台灣目前的資安法規對於民間業者的管理,僅限於納入「關鍵基礎設施」的「特定非公務機關」。對於這種掌握大量民眾資料卻又與「關鍵基礎設施」無關的廠商應該要如何監管,在資安法規上,目前並沒有一個很好的處理方式。而這個處理方式怎麼做,實際上是法的問題,不是專責機構有無的問題。
當然,這是在把個資當作是一種隱私權延伸的權利的角度來看。有的人認為個資根本不是一種「權利」,從那個角度的話事情就不會是這樣看的了。不過那跟台灣目前的法體系相差太多,不太有討論的必要(實際上我也不了解他們說什麼)。
簡單來說,要面對類似 iRent 事件的挑戰,不是一個「專責單位」就可以應付的。「專責單位」喊起來簡單明白,是容易讓民眾理解的方式,但卻很難說是解決相關問題的最好方式。
台灣更需要的是,政府結合個資體系與資安體系,並且修訂相關法律的規範與罰則,把更多類型的民間機構與使用樣態,建立起個資與資安防護的標準與責任。而這些個資、資安的知識,必須滲透到各級政府機關中,絕不可能單憑一個專責機構就能解決這個複雜的問題。
附帶一提,共享載具其實在台灣,是經過各地方縣市政府特許、簽訂行政契約才能夠投放的。臺北的吳沛憶議員;新北市議員戴瑋姍、張錦豪、顏蔚慈和林秉宥議員都有留意到地方政府應有的責任。不過目前好像雙北市府都還沒有要進行裁罰。其實以新北自治條例的明確程度,應該是可以率先開罰才對。
