近年來許多高科技公司也成為駭客攻擊甚至勒索的對象。高科技公司對於資通安全事件理應積極做到事前盡力防堵,事後緊急採取損害控制及復原等應變措施,以免危害到公司的正常營運及客戶的長久信賴。
台灣幅員雖小,卻是科技產業大國。人紅是非多,公司亦然。近年來,許多高科技公司也成為駭客攻擊甚至勒索的對象。高科技公司對於資通安全事件理應積極做到事前盡力防堵,事後緊急採取損害控制及復原等應變措施,以免危害到正常營運及客戶長久信賴。
就像企業家遇到擄人勒贖事件未必會敲鑼打鼓公告周知,面對資通安全事件,有的公司會隱而不宣以免損害企業形象,有的公司雖會對外承認卻粉飾太平,有的公司則會公開揭露適當資訊。惟若事件遭媒體爆料,公司勢必要做出官方回應,以正視聽。否則如讓流言耳語以訛傳訛,將嚴重打擊企業形象,甚至發生轉單效應,不可不慎。
資通安全事件資訊公開案例
2021年4月間有媒體傳出:筆電代工大廠廣達遭駭客侵入竊取設計產品機密,勒索高額贖金。廣達則於4月22日在證交所建置之公開資訊觀測站表示:「廣達資安團隊已與多家外部資安公司技術專家合作,共同處理此次針對廣達少部分伺服器的網路攻擊,並已將所監測到的異常網路狀況,通報予政府相關執法部門與資安單位,並保持密切連繫。公司日常營運未受影響。廣達已於第一時間啟動資安防禦機制,並進行網路攻擊的清查,少數受到影響的內部服務均已回復運作。我們亦同步檢視並強化現有基礎架構,全面提升網路安全等級以保護資料安全及完整性。」
前述案例是駭客攻擊勒索,而若是較為單純之電腦病毒感染的資通安全事件,更應及時對外澄清,以免外界擴大渲染而損及企業商譽。例如台積電於2018年8月4日在公開資訊觀測站表示:「台積公司於8月3日傍晚部分機台受到病毒感染,非如外傳之遭受駭客攻擊,台積公司已經控制此病毒感染範圍,同時找到解決方案,受影響機台正逐步恢復生產。受病毒感染的程度因工廠而異,部分工廠在短時間內已恢復正常,其餘工廠預計在一天內恢復正常。」且持續對外界做出更詳盡的說明,以化解可能的疑慮。
資訊公開之法制說明
美國知名的聯邦最高法院大法官Louis Brandeis曾表示:「陽光是最好的防腐劑,燈光是最好的警察」,強調資訊公開的重要性。我國證券交易法即採用資訊公開的監理原則,要求公開發行公司應揭露關於公司的相關資訊,讓投資人得藉以了解公司的業務、財務等狀況並為適當評估,作為證券投資及交易的參考,並防制詐欺不法事件。
證交法的資訊公開機制可分為初次公開與繼續公開兩種。初次公開機制主要為公開發行公司於發行股票或其他有價證券時製作公開說明書,以供投資人於認購前了解公司資訊。繼續公開機制則為公開發行公司定期製作年報、財務報告等文件,以供投資人繼續了解公司資訊,作為在次級市場交易的參考。此外,依證交法第36條第3項第2款規定,公開發行公司發生對股東權益或證券價格有重大影響之事項(重大訊息),則應於事實發生之日起2日內公告並向主管機關申報,此屬於即時性的繼續公開,實務上乃以公開資訊觀測站為主要的資訊公開管道。
值得注意的是,為了強化資通安全事件重大訊息發布的功能並明確化法源依據,證交所於2021年4月27日在其所制訂之對有價證券上市公司重大訊息之查證暨公開處理程序中,於第4條關於上市公司重大訊息中之第26項,將資通安全事件明確訂於規範之中。
除前述關於重大訊息的即時公開機制之外,公開發行公司製作之公開說明書與年報,也須做到資通安全事件之資訊公開。依金管會修訂之公司募集發行有價證券公開說明書應行記載事項準則第19條,以及公開發行公司年報應行記載事項準則第18條,關於公開發行公司之「資通安全管理」,應記載下列事項:
1.敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
2.列明最近二年度及截至公開說明書刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
詐欺與內線交易構成民刑責任
公開發行公司發生之資通安全事件有造成公司重大損害或影響者,應依相關規定公開資訊。惟亦須注意不能有虛偽、詐欺或其他足致他人誤信之行為,例如掩飾駭客入侵或將巨額衝擊粉飾為輕微損害,否則可能涉犯證交法第20條第1項之證券詐欺或是證交法第32條關於公開說明書不實等規定,而構成相關之民刑責任。
此外,資訊公開前亦不能有內線交易的搶先偷跑情事。上市櫃公司如發生資通安全事件而有造成公司重大損害或影響者,該公司之內部人(如董監事、經理人、大股東、因職業或控制關係獲悉該重大訊息者等)實際知悉該公司之資通安全事件重大訊息時,在該訊息明確後,未公開前或公開後18小時內,不得對該公司之股票自行或以他人名義買入或賣出,否則可能涉涉犯證交法第157條之1之內線交易罪,而構成相關之民刑責任。
資通安全須專人處理
資通安全屬於公司內部控制與資料治理的重要環節,應視個案情形拿捏適當尺度,否則反倒因資訊公開而讓駭客有機可趁。此外,公司視其發展程度可能需要建置資訊安全長,並與發言人充分合作以對外適當說明資通安全事件之處理。金管會於2021年12月28日修訂之公開發行公司建立內部控制制度處理準則第9條之1即增訂:「公開發行公司應配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者,本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,及設置資訊安全專責單位、主管及人員。」可見資通安全在公司內部控制之重要性,也需要專人處理。
<本文作者:陳佑寰目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>