跳到主要內容

參與 1 月 11 日的「資通安全管理法」公聽會感想


如果有人讀過由去年諾貝爾經濟學奬得主 Richard H. Thaler 的《不當行為》,也許就會開始學習如何當一個理性的經濟學者,而不被衝動或個人習慣沖昏頭進行不當的消費。書中所提到的一些概念其實更可以運用在各個場域裡,包括已參與幾次的座談會到今日公聽會的「資通安全管理法」。

法學專家們的疑問

大概整理了幾點:
  • 如何避免技術性的規避或離開市場?
  • 行政救濟的相關事項。
  • 擬這套法案時參考美國、日本、新加坡等這些國家的依據是什麼?是經濟或科技發展情況還是剛好搜尋到這個國家有這套法律,所以拿來用?
  • 這部「資通安全管理法」的主管機關是台灣的行政院,行政院主要是整合政策的功能,本身無執法的能力,僅能要求被管制者義務執行,也就是主管機關的管制責任是空虛的。
  • 參考的國家都有編制專責的單位與規劃預算,如果在台灣這套法令通過了,開始實行了,有編制的人力嗎?執行的能力嗎?可能沒有。
  • 「資通安全管理法」有主管機關,但「個人資料保護法」沒有主管機關。這兩部法一樣重要,但為什麼會有這樣的差異?

關於「關鍵基礎設施」的定義

在原本草案最具爭議性的第十八條被刪除後,大家的著眼點則放在「關鍵基礎設施」的定義,是否以行政院國土安全辦公室所定義關鍵基礎設施為主或是應該以網路服務設施作為關鍵基礎設施。
去年 12 月20日,幾個立法委員又開了一場座談會,那時我看到了朋友傳來的會議照片,我對朋友說,我所想到的關鍵基礎設施是這麼分類的:
  1. 優先該規範的應該是與網路有關的硬體建設:通訊基地台、線路、交換中心、資料中心、電信公司….然後再分等級。
  2. 次要為是建立在這些網路基礎建設之上的,有迫切性、與人權、人身安全及民生有優先需求的基礎建設或服務:國防(他們不談不然這會優先)、能源、醫療、照護事業、交通等基礎建設。
  3. 再來是與日常經濟活動相關的銀行金融、商業行為等相關應用與服務。
今天在會場裡,我再回頭檢視「資通安全管理法(草案)」中關於關鍵基礎設施的分類方式,於是有這樣的體會:若以一般民眾所能受到對網路建設不理解的多數人來說,國土辦所定義的「關鍵基礎設施」是對民眾最「有感」的,如果以技術人員的角度來看,這些不是技術人員或資安人員所定義的「關鍵基礎設施」。例如:台電停電五分鐘會比網路伺服器停止服務五分鐘所受到影響的層面來得更廣泛。

檢視立法的目的

由於今天的公聽會讓我感受到只是邀請專家學者為委員們上課,當IThome的記者朋友回饋她多年來處理資安新聞與看到國內各單位缺乏資安意識的感觸時,於是我開始回想:「這部法案訂立的目的是什麼?」
在第一版的提案中第一條提到:「為積極推動國家資通安全政策,加速建構國家資通安全環境,帶動資通安全產業發展,以保障國家安全,維護社會公共利益,特制定本法。」條列如下:
  1. 積極推動國家資通安全政策
  2. 建構國家資通安全環境
  3. 帶動資通產業發展
  4. 保障國家安全
  5. 維護社會公共利益
去年 12 月 20 日的審議後,第一條修改為:「為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。」
  1. 積極推動國家資通安全政策
  2. 建構國家資通安全環境
  3. 保障國家安全
  4. 維護社會公共利益
也就是在修改後的法案裡已無所謂的「帶動資通產業發展」這件事。
在行政院版的「資通安全管理法 (草案)」被送入立法院後,簡處長曾受邀為大家解釋相關的疑問,那時我的解讀,立這個法的目的是:
  1. 推動國家資通安全政策
  2. 維護國家資通訊安全 (呼應資安即國安)
  3. 促進國內資通訊產業發展
  4. 提升公務部門中資訊部門人員的位階
  5. 促進國際交流
而上述的第3、第4也包含了建立資安意識、教育、人才培育、產學合作,畢竟那時我讀了日本的《網路安全基本法》,也相信在其規劃裡,也許在子法的部份會提到這些內容。於是再進一步確認,整理如下:
  1. 台灣 2017 至2020 年的資通安全政策為國家資通訊安全發展方案(106–109年)已在去年11月時公布於行政院國家資通安全會報網站。
  2. 關於產業發展及人才培訓的部份列於該方案中。發展新興資安產業、產學交流的主管機關是經濟部,而人才培育的主管機關是教育部。
  3. 該方案也規劃了政府部門人員資安意識、職能的提升,包括成立千人的資安應變小組。
  4. 在 2016 年的 8 月也公布了一版「國家資通安全通報應變作業綱要(修正版)」。
  5. 在行政院版的「資通安全法 (草案)」第四條與第五條也列有人才培育及國際交流。
國際交流的部份,其實台灣的 CERT 或相關的單位都會與國外的單位交流,只是我是非當事人通常是不知道,只有在 APrIGF Bangkok 2017 時第一次見到台灣的 CERT 。
昨天在讀 IGF 2017 關於資訊安全的報告,也與 APNIC 的朋友 Adli Wahid 討論到 CERT ( Computer Emergency Response Team) 的責任與義務。他認為,CERT 的存在與義務也僅是為了他們的目的而已,很多時候一般人不認為 CERT 有發揮什麼實際作用,事實上 CERT 並不負責國家安全,但可以協助與協調資安事件發生時的處理程序,減輕資安事故造成的傷害,並加速受害單位從事故中恢復的能力,事實上他與 TWCERTTWNCERT 也有過互動,也提過台灣的相關單位是十分樂於分享、交流資通事件與處理方式,在某些國家或單位是少見的。同時也提醒我一點:
There is no silver bullet in security.
如同在 GCCS 2017 中的資安專家就提到,你永遠不知道那些攻擊行為的目的是什麼,也無法阻止攻擊事件的發生,只能減輕傷害與損失並加速復原。

在經歷了去年的網路治理會議後,幾乎每場會議都會談到如何建立每個人對個人資料、資訊安全、隱私保護的意識與能力,所以可以知道這是一件很重要的事,也不是只有台灣人缺少這樣的意識與能力,更樂見於國家有心提升公務人員有居安思維的意識而放在國家資通安全發展方案中。

後續建議

在今天的公聽會結束後,簡處長也提到對於後續的六部子法:
  1. 資通安全管理法施行細則
  2. 資通安全責任等級分級辦法
  3. 資通安全事件通報及應變辦法
  4. 資通安全維護計畫實施情形稽核辦法
  5. 資通安全情資分享辦法
  6. 公務機關人員資訊安全事件獎懲辦法
在一月底會以公開的方式,除了召開座談會將逐字稿 (希望我沒有誤會)與會議記錄公開上網外,也會透過國發會的平台 (不確定是 vTaiwan 或是 JOIN平台) 公開徵求意見。
事實上我也在思考以下哪一種方案對整體社會的機會成本最高:
  1. 繼續修改這部行政院版的「資通安全管理法 (草案)」同時照資安處的規劃徵求上述六部子法的意見。
  2. 撤回行政院版的「資通安全管理法 (草案)」並公開徵詢意見重新撰寫,連同六部子法 (可能不用到六部) 一起讓人民參與。
針對方案 1,各界都已投入大量的時間與人力成本於現有的草案中,幾乎已是無法回收的沉沒 (默) 成本,也許是因為這樣才執著於修改現有的法案並繼續擬六部子法。然而我所擔心的是若是行政院版的草案通過,很有可能因為母法過於模糊 (已被刪改的與最初目的不同)、子法內容未明的情況下,會不會傷害到經濟社會 (例如逼迫國內業者外移、對外國廠商無拘束能力、或法學專家們提到的) 或有無侵犯人權?
若是方案 2 ,對於資安處的傷害頗大,但理性的經濟人並不會計較沉沒(默)成本,適時停損,也可以就先前的錯誤經驗,研擬出方向,避免犯下重覆的錯誤,更確定也不會造成各界擔憂的法案出來,對整體社會來說也許就不必要再針對六部子法召開所謂的 15 場專家學者座談會和多場委員會議⋯⋯等不必要的各種成本支出。
然而最終的評估可能還是要由資安處來決定,畢竟站在我的角度來說,資通安全管理法是必要的,但請長官們以人權、整體社會與經影在法案實行後所需要付出的代價、遭受到的影響來考量這部法案是否要繼續修改還是撤案撰寫。

以人權為基礎的網路安全政策建議

去年在 APrIGF Bangkok 2017 參與了網路安全的教育訓練,其中 GPD 提供了一份文件:「Recommendations for human rights based approaches to cybersecurity」,在徵求同意翻譯至中文後,經過 T.H. Schee 的調整刊登於 OK Taiwan 網站上,列在以下,希望不論是繼續修改還是重新撰寫,都希望能考量以下建議:
  1. 網路安全政策和決策過程應該要保護及尊重人權。
  2. 網路安全相關法規、政策、實行措施的發展,應該要出自於內心對於人權的尊重來設計。
  3. 網路安全相關法規、政策和施和實行措施應該要強化人們在線上與離線時的安全,考量關於個人與團體在不同風險中所面臨的威脅。
  4. 網路安全相關法規、政策和施和實行措施的發展和執行,應該要符合國際法,包含國際人權法和國際人道主義法。
  5. 網路安全相關法規、政策和施和實行措施不應該被作為侵害人權的藉口,特別是自由表達、集結社團、集會和隱私方面。
  6. 對於網路事件的回應不應該侵犯人權。
  7. 網路安全相關法規、政策和施和實行措施應該要維持及保護網路的穩定性與安全性,且不應該破壞基礎設施、軟硬體和服務。
  8. 網路安全相關法規、政策和施和實行措施應要能反應在加密和匿名規則上,確保人權的實現,特別是自由表達、集結社團、集會和隱私。
  9. 網路安全相關法規、政策和施和實行措施不應該阻礙有助於保護人權的科技發展。
  10. 網路安全相關法規、政策和施和實行措施的研擬,不論在國家、區域、國際階層上都應該要讓所有利害關係人透過開放、包容、透明的方式進行。
  11. 利害關係人應該要推廣教育、數位素養和技術及法務訓練,用以推進網路安全與實現人權。
  12. 所有利害關係人都應該分享尊敬人權的網路安全最佳實行措施。
  13. 加強網路安全能力建設,不論是對於連線或是離線的人都具有重要的作用;這樣的努力應該要促進人權發展。

朋友 Adli Wahid 建議關於 CERT 與 CSIRTs 的相關閱讀:

留言

這個網誌中的熱門文章

觀察台灣租車公司資料外洩事件和國外的類似個案

一月底時, TechCrunch 的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的 後續報導 是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報  TWCERT/CC  協助處理,也已經無法自該資料庫下載資料。 這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀: Equifax資料外洩案: 2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。 經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。 對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。 連結: Equifax Data Breach Settlement Drizly 資料外洩案 資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。 2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。 美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識

[movie]Selena 哭泣的玫瑰

歌手:Selena Quintanilla Perez(1971~1995) 從wikipedia查Selena 導演:Gregory Nava 主要演員:Jennifer Lopez, Jackie Guerra 推薦CD: LIVE THE LAST CONCERT 電影原聲帶: 哭泣的玫瑰 最近在聽一張已絕版的專輯,已逝拉丁歌手Selena的Dreaming Of You。這位歌手只活了短暫的二十三年,死於自己歌友會主席的槍下。在她短暫的生命裡,歌唱事業佔了她二十三年生命中的大部份,然而她也曾在1987年獲得Tejano Music Awards本年度最佳女歌手獎、最佳表演獎並於1993年獲葛萊美最佳表演獎,之後又以《 Amor Prohibido 》這張專輯獲得1994年葛萊美金獎,跨越了國藉的隔閡,是位非常傑出的拉丁女歌手。 這部Selena在台灣被譯作《哭泣的玫瑰》1997年時由Jennifer Lopez演出,由於電影拍攝出資者是Selena的父親Abraham Quintanilla,而他們一家屬於墨裔美國人,所以在片中還可以看到移民者的一些感觸。 Abraham年輕時就有組團表演的夢想,但他的身份使他的樂團在白人舞廳裡無法得到表演機會,當他們在墨西哥舞廳裡歌唱時又因為只懂得唱白人的抒情歌曲,使喜愛跳舞的拉丁人民無法隨樂起舞而引起暴動,接著便結束了他的音樂夢,當他發現自己十歲的小女兒Selena具有音樂天份時,整個家庭都投入表演事業,由他擔任經紀人,全家四處表演。 由於她在年紀小小時便四處表演,所以她無法像其他同年齡的女孩一樣有機會談戀愛或是遊玩,在片中也有這麼一段台詞認為自己屬於被保護下長大的孩子,在光鮮亮麗的歌手外表下,她也想像其他女孩一樣有機會談戀愛、結婚、生子,在這部電影裡都可以看到父親對女兒的關懷,希望留下女兒美好的一面,所以也不會有一些緋聞或是不好的新聞,比較像是父親為了紀念自己的小女兒而拍攝的電影。 這部電影裡,Abraham提到到的一些觀點訴盡了移民們的心酸,他對西班牙語不流利但即將上台演唱的Selena說:「在美國要了解美國歷史,要比美國人更美國人,但也不能忘記墨西哥的歷史,要比墨西哥人更墨西哥人…。」也許因為以前慘痛的經驗,所以告訴女兒一定要學西班牙話,從拉丁歌曲開始表演。Selena的成功除了她本身的天賦和與生俱有的親和力外,我

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法可管,例如《兒童與