數位發展一百天 資訊安全仍缺席

還記得今年七月在數位發展部掛牌成立之前，OCF 與許多夥伴共同發表的〔數位發展部應有全面的數位轉型規劃〕聯合聲明嗎？時間過得飛快，本週 12 月 5 日迎來了數位發展部成立滿一百天。不巧的是，最近發生了「全國戶政資料網上兜售」事件，讓我們在數位發展部成立滿一百天之際，對數位發展部的職權和規劃有了新疑慮。

對於媒體報導「戶政系統遭駭民眾戶籍在國外論壇在國外論壇（BreachForums）兜售」事件，內政部在十月底發布了簡短說明，強調「戶政資訊系統採內外網實體隔離架構，資料均妥善保存於內網中，並未流出，請民眾放心。」然而，主管行政體系資安大門的數位發展部，至今仍未見其正式回應。我們不禁要問：「資安即國安」猶言在耳，政府這次是否輕忽了民眾個資安全的保護？

⚠️ 戶役政資料外洩的嚴重性

根據資安專家的判斷，本次外洩的戶役政資料非常完整，所有台灣人的戶役政資料都在裡面，不僅是姓名、身分證字號和戶籍地址等重要個資，連最新的婚姻狀況和兵役資料都在其中，並且在網路上以低價被公開販售，有可能讓近來相當猖獗的詐騙集團更加猖狂，更甚者，台灣的國家安全也會造成損害。

⚠️ 我們對政府資訊安全專責機構的疑慮

根據〔數位發展部資通安全署組織法〕，數位發展部成立資通安全署的工作職掌，包括「國家資通安全事件偵測與通報應變機制之推動及執行」。但是，如此嚴重的國家級個資外洩事件發生至今一個月，資通安全署仍未向國人正式說明個資外洩的原因、嚴重程度、以及任何因應措施。

因此，我們也再次提出對政府資訊安全專責機構的疑慮：

1️⃣ 資通安全署層級是否不夠？：資通安全署前身為「行政院資通安全處」，屬於行政院直屬機關，並有「行政院國家資通安全會報」統籌中央部會、直轄市與國安局等相關體系的資安單位，因此具有一定程度的跨部會協調能力。然而，資通安全署成為單一部會的三級機關，是否減弱了其統籌力度，對其他部門資安事件鞭長莫及？

2️⃣ 沒有「安全港條款」：民間單位在目前「只要持有戶役政資料，就會違法！」的狀態下，沒有任何監督個資外洩事件和舉證的安全空間，如果政府宣稱資料無外洩，並無管道進一步檢視和蒐證以免觸法。面對國家級的國民資料外洩，一般民眾可能只能坐以待斃別無他法，台灣人的個資安全怎麼辦？

3️⃣ 沒有獨立個資保護機關：台灣目前僅有個資法，近期釋憲案已要求，卻仍未成立主責業務的獨立個資保護機關，對於重大個資外洩事件也沒有處理和公告程序。數位發展部雖非主責機關，但許多業務與個資保護有關，這樣效果是否會大打折扣？公私部門的個資外洩事件屢見不鮮，許多人對於個資保護一事也早已心灰意冷。試問：個資外洩是台灣人應該要習以為常的事情嗎？

對於數位發展部，我們有期待，也有些失望，但我們仍希望數位發展部可以正視自己領航國家數位轉型、接軌國際的重大責任，成為一個「促進自由開放、保障民主人權、鼓勵公共參與」的創新部會。

同時，我們也想要邀請大家一起繼續關注台灣的數位發展，用公民之力監督一個更好的數位發展部。歡迎留下你的評論，或者分享這篇貼文，讓更多親朋好友一起來關心！

■ 開放文化基金會 × 法律白話文運動 Plain Law Movement「開放的網路，我們用自由撐起」

開放文化基金會（OCF）支援台灣 30+ 開源社群，倡議開放科技、網路自由與數位人權，本次與法律白話文的推廣計畫旨在分享數位小知識，讓所有奔馳在數位世界的朋友注意「停，看，聽」。開放的網路資源和自由來去的便利需要你我共同守護，也歡迎支持我們用開放文化杜絕封閉壟斷，創造更多自由的連結。關於本計畫請至：https://ocf.tw/techup

【如何支持我們的計畫】

➤ 發票轉贈 🔄 愛心碼 1989❗
➤ 訂閱電子報 📰 https://ocf.tw/news/
➤ 定期支持 🙌 https://bit.ly/OCFTechUp