台灣近期接連發生駭客兜售戶政資料、健保署官員涉盜賣民眾個資至中國、華航個資外洩、iRent個資外洩等重大資安事件,民眾黨立法院黨團今(10日)召開記者會,痛批目前《個資法》未落實,還規定必須超過20位當事人授權才能提告,應參考韓國、新加坡經驗,並要求政府儘速增設獨立性專責個資保護機關。
民眾黨團上午召開「還要等多久?加速成立個資保護機關」記者會,黨團副總召賴香伶、立委陳琬惠出席,及昨天才產下男寶寶的立委吳欣盈也透過線上參與。
賴香伶指出,台灣公務機關近年發生多起重大個資外洩事件,卻因缺乏法源依據,無法裁罰管理疏失的公務機關;若非公務機關個資外洩,主管機關僅能按次進行最高20萬元的行政罰鍰,受害民眾提起集體訴訟還設有求償金額上限,事前監督與事後追償力道都明顯不足,台灣缺乏專責機關進行資安事前規劃、事後主動調查及定期檢查,往往要等到民眾受害,個資外洩的事實才會被披露。
賴香伶建議,參考韓國及新加坡經驗,多將裁罰依據納入個人資料保護法,以法條明確規範,民眾黨團本會期開議當週已將《個人資料保護委員會組織法》送入院會,希望設置獨立監管單位,主動調查重大個資外洩案件、依法裁罰,未來也會推動《個人資料保護法》修法流程。
吳欣盈也說,台灣《個資法》根本沒落實,還規定超過20位當事人授權,才可提起集體訴訟,實務上很不方便,歐盟的「一般資料保護規則」(GDPR)授權公益團體可主動訴訟,相比之下更有效率。
吳欣盈直言,曾與數發部、國發會、健保署、資策會等相關單位開過3次會議,研議修正《個資法》,可是國內沒有獨立專責機關,各個部會互踢皮球,她日前針對數發部和國發會提出3預算案,要求政府精進資安及研議導入GDPR。
陳琬惠表示,資安界過去不斷宣導「配置錯誤」是雲端安全議題最普遍的威脅,然而從近期iRent數十萬筆用戶個資外洩來看,政府與民間企業依舊輕忽資料管理安全,且現下個資處理業務被層層外包,民眾無法明確得知使用者,未來《個資法》應強化保護策略,並建立明確揭露原則,要求非公務機關提出安全維護計畫、建立定型化契約。
陳琬惠指出,日前台灣戶政資料外流,被不法份子放在網路上兜售,不只國人權益受到侵害,嚴重的話還可能釀成國安危機。有很多方法與策略能解決台灣資安困境,像美國就採取「永不信任,一律驗證」的零信任架構,政府要拿出務實的資訊發展路徑與策略,專責機關成立之前,數位發展部部長唐鳳不能只會外宣與內宣,做好個資管理,資訊發展才能安全進步。
昨天剛產下男寶的立委吳欣盈今透過線上參與記者會。 圖:周煊惠 / 攝