某一重量級博物館去年6月發生資料外流、內部進行處理後調查報告已於1月經核定;但至3月被媒體露出與立委爆料,該博物館始對外發布新聞表示,高階圖檔外流非經個人電腦,已採內部封閉式儲存設備及系統程式自動化處理作業,阻絕外流風險。本文以政府資料開放與資訊治理為主,從相關法規及可能因應作為加以研析。
在數位經濟時代內,討論資訊安全之角色與重要性,已屬老生常談。泛論資安(無論其指網路安全、資訊安全或資通安全)在現今社會扮演至關重要之角色,尤其是在公、私部門內,且隨著資料治理與政府資料開放逐漸受到重視,各國搭配相應之法令或行政規則,以確保資訊安全與個人隱私云云,老生常談至極,彷彿AI產出的文字。
然而,以近期某一重量級博物館之案例觀之,去年6月發生資料外流、內部進行處理後調查報告已於2023年1月經核定;但至今(2023)年3月被媒體披露與立委爆料,該博物館始對外發布新聞表示,高階圖檔外流非經個人電腦,已採內部封閉式儲存設備及系統程式自動化處理作業,阻絕外流風險。
暫不討論是誰的陰謀,此一資安事件業已完成報告,相信經專業鑑識應可知外流根因,並透過矯正預防措施以持續改善。 由於此一重量級博物館屬適用資通安全管理法之對象,又適用政府資訊公開法。且依國際資料管理協會(DAMA)之定義,資料治理係指在管理資訊資產的過程中,進行相關規劃與管控,如計畫、監控與施行。並重視包含策略、制度、監督及合規等內容,以發揮資訊資產之價值。基此,本文以政府資料開放與資訊治理為主,從相關法規及可能因應作為,陸續研析如後。
可能法令適用研析
可能法令適用研析可從資料治理相關及政府資料開放相關兩方面來加以探討。
資料治理相關
在此時代內,相信大家都知道資料(如本案之館藏圖檔)的重要性,也希望透過轉換,使其具備交易可能或增加附加價值,爰資料治理或其他運用油然而生。但企業或組織對於手邊擁有的資料,欲規劃資料治理或進行相關行為前,除了技術議題,合規性亦是關鍵之一。考量此案例之性質與資料治理之需求,先說明可能涉及法規如下:
1.個人資料保護法(簡稱個資法):個資法依不同主體,區分公務機關與非公務機關在蒐集、處理或利用,以及傳輸個人資料時須遵循之規範。此外,還涵蓋當事人對於其個資蒐集之同意、利用之特定目的、檔案安全維護相關措施,以及最重要的當事人權利行使。個資法可平衡當事人權益與個資合理利用,惟在此一博物館圖檔外流案例內,因無個資之要素,可無須討論。
2.資通安全管理法(簡稱資安法):資安法適用對象包含公務機關、特定非公務機關,並應依資安法(含子法)規範,例如:管理面、技術面、認知與訓練之應辦事項,據以建立內部資訊安全管理制度,處理資訊安全政策、組織結構、風險評估與管理等事項。該法旨在提升資訊安全水準,降低資訊安全事件之發生率等。由於此一重量級博物館屬公務機關,有資安法之適用。
政府資料開放相關
以國發會推動之政府資料開放平台為例,目標是希望將結合民間社群跨域力量,發揮民間資料加值能量與創新活力,以擴大資料開放應用及提升政府資料品質。爰在涉政府資料開放部分,摘要如下:
1.政府資訊公開法(簡稱政資法):由上述說明可知,政府資料開放是提高政府透明度與促進創新之重要手段。且參照政資法第18條之規定,政府資料以開放為原則,除非屬機密或依法令要求,始限制公開或不予提供。基於共享及公平利用,且保障知的權利,政資法規範資料開放之範圍、程序及限制條件,俾利確保政府資料開放、資訊安全及隱私保護能相互協調。
2.政府資料開放平台:此平台源於政資法,提供政府開放資料之查詢與下載服務,如統計資料、圖檔、檔案集。透過此平台主動將政府資料開放,授權各界下載這些開放資料,以擴大推動政府與民間協力合作。承前,其運作除政資法外,尚應兼顧資安法與個資法,以確保資料開放與資訊安全。
結語
從現有法制觀之,無論在資訊安全、資料治理或政府資料開放,皆已有完整規範,如資安法與其應辦事項,可確保資安三重點:機密性(C)、完整性(I)及可用性(A)。其他如個資法或政資法,也為資料治理提供合規性之依據。
如本文前言所提,資安在資料治理與政府資料開放之領域內,扮演著關鍵性角色。若為預防此一博物館圖檔外流案例或檢視現有規範,相信AI可能產出以下文字:
隨著技術快速發展與資料量之不斷增長,資訊安全與資料治理的挑戰也日益嚴峻。在此前提背景下,公、私部門應積極應對以下幾個方面的挑戰:
1. 落實資料保護措施:如資安法或個資法規範,公、私部門應落實相關法令之規定,除合規性或管理制度要求外,其餘包括涉及權限、存取控制、加密或分類等控制措施,以防止資料洩露與濫用。
2. 提高資訊安全意識:除了資安法或應辦事項之要求,資訊安全不僅是公、私部門之責任,也是每個民眾的責任。因此,加強全民資安教育與提高資安意識至關重要。
3. 強化內外部合作:資安議題並非企業內部單一部門可以處理,涉及資訊、法律或管理等事務,且網路無弗屆,現今資安事件常是全球性的挑戰,如因應外部威脅、惡意攻擊,更需要各國政府、企業或組織共同應對。基此,加強內部跨部門、或外部甚至是跨境合作,如情資分享、公私協力,將有助於提升資料治理與資訊安全之能量。
4. 持續更新法規:隨著科技發展與社會需求之變化,相關法令需要不斷調整與完善,如資安法、政資法之權衡,以確保資訊安全與個人隱私保護。
上開泛泛之建議不用學者專家研議,連AI都可以提供。實際可能的因應或未來建議應該是:不管法規如何變動、內外部如何加強合作,由此一博物館圖檔外流案例內可知,資安防護的關鍵多在於人。可以進一步思考:該博物館既為資安法適用對象,為何同仁可以自行開發影像轉換程式;或將資料移至公務系統中可提供對外服務伺服器之情形為何發生。
以資安法應辦事項之規範為例,內部管理制度應已包含系統開發、權限或傳輸事項之要求,同仁未遵守、且內部未(及早)發現恐才是關鍵。任何法規、制度或作業流程,其實都是為了讓人能夠落實執行;只有資安意識深植於組織或個人心中,並據此恪遵相關機制,才有機會真正達到資安防護目標。不然,再多制度設計、監督管理或矯正預防,都只是枉然。
<本文作者:陳宏志近年來專注在資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權領域,規劃區塊鏈或相關應用。>