各項新技術或概念在推廣初期都需要有一強而有力的單位在後推動,對於資訊安全方面,國家或由官方單位制訂的法律規章是最好的驅動力。目前在台灣雖然擬定多項有關資訊安全的法案,然而因為立法院需審核的法案相當多,這些法案都還沒有辦法付諸實行,也在缺乏官方規範甚至制訂罰則的狀況下,許多企業選擇暫不投資相關保護措施,近年來多起隱私洩漏或入侵事件也越發凸顯缺乏法令下的問題。
其實資訊安全的問題,並不全然是因為技術或產品不足,除了人謀不臧之外,更重要的是相關的規範。人畢竟都有貪求便利的慾望,能夠減少操作上的步驟,就不願意多做一些事情以確保安全。雖然有許多技術都能自動進行以減少步驟與時間,但使用者總是會因為各種原因而拒絕使用,這時候就需要政府單位的介入,才有辦法推動並確保資訊的安全性。
新加坡政府推動資安發展
以鄰近的新加坡為例,該處的治國理念是以企業化方式管理整個國家,其所設立的資訊通信發展管理局(Infocomm Development Authority of Singapore,IDA)即是負責管理並制訂新加坡整體資訊發展方向,及相關政策的單位。除此之外,也會依據整體需求,扶助企業發展相關技術與能力,目前轄下有9家公司,從生物辨識、版權管理、加密連線、單一登入、存取控制到資料加密等技術,分別由不同公司負責,而這些技術也都受到國際肯定。
 |
| ▲新加坡資訊通訊發展管理局為官方組織,但旗下轄有9家企業,協助新加坡政府開發各項相關資訊安全技術與解決方案。本次會議中展出多項相關產品,包括透過SmartCard加密的攜帶式硬碟。 |
IDA資信工業發展司副司長林奕淋(Low Aik Lim)表示,在IDA部分主要是協助新加坡政府蒐集並研究相關資通方面的議題,在適當的時候提出建言,並制訂相關企業的研究方向。
在本次展覽中,IDA展出所有多項產品,包含SSL VPN、SSO、生物辨識及加密硬碟外接盒等產品,其中文件保護技術是受到相當多人專注的產品。
這次IDA展出的文件保護技術,則是利用多種保全方式,加強文件的版權管理,其方式包括特殊浮水印、暗碼、隱藏記號及二維條碼等方式,除此之外,需要列印時還需要上網索取相關認證碼才能啟動。而版權發放單位也可以設定該使用者能夠列印的份數,有效控管文件的安全。
國安局引爆通訊自由爭議
美國國安局從1952年成立以來,致力於通訊管制與密碼學研究等內容,聘請大量數學家與電腦專家,而後於布希總統時代更擴張其權力,得監控各項對外通訊以鎖定恐怖份子。
相對於其他官方組織協助政府推廣資訊安全架構與概念,國安局部分則是以破解及近似侵犯資料隱私的方式保障國家安全,也引起相當大的爭議,突顯出為了保障國家安全與個人通訊隱私之間是很難有緩衝空間的。
基於國家安全的立場而言,自然希望能夠得知所有有害國家的個人言論並加以監控,但是在民主自由國家中,這又是極度侵犯個人隱私的行為,就如同憲法第十二條中所明文規定「人民有秘密通訊的自由」,國家應保障人民基本的通訊自由。 相對而言,因為有這些爭議,也使得許多人重新思考,如何在保障國家安全與通訊自由間取得一平衡點,也促使各國政府正視並明訂相關的執行規章,台灣便於1999年通過「通訊保障及監察法」,確定各機關在何種狀態下得以監控人民及其範圍,確保人權不受侵害。
相對而言,國家法律的制訂也影響了企業如何管控員工。有許多企業抱持「員工即為公司的私產」之想法,在未經告知的狀況下逕行監聽監控,甚至據此動輒處分或解雇,也曾經造成不少紛爭,不過根據台北地方法院91年勞訴字第139號判決中所明示,如果雇主已明訂並通告員工相關監控方式與規範,則企業監看員工郵件之相關行為並非違法,但如據此解雇或採取其他措施,則應據其行為而另行裁決。
法律是規範資安的最後界線
從以上兩個國家的狀態可以得知,政府立場會直接影響資訊安全的相關措施,以政府的力量推動各項資訊安全發展與措施,可以加速整體應用的導入,但如果藉此侵犯人民隱私權,相對地也會引起各單位有樣學樣,反而引發更多爭議。
同樣的,公司規章就有如國家法律,在沒有明文規定之前,任何的措施都不應該也不能侵犯到員工的個人隱私,如何確保企業機密資料的安全性,同時兼顧員工隱私,就需要勞資雙方共同擬定並公開相關規範,才能減少各種可能的爭議。