https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

人生就是如此不用擔心太多,那政府呢?

2010 / 06 / 07
趙玉
人生就是如此不用擔心太多,那政府呢?

前期資安人的編輯用了「人生就是如此,不用擔心太多」這句話作為資安防護工作繁複的註腳,一語道盡了資安工作從事者面對「道高一尺、魔高一丈」犯罪手法不斷突破的無奈。很貼切,但人生真的能夠如此阿Q,什麼事情都無所謂嗎?


資訊應用擴大至民生面 勿流於嘴唇服務式的安全保證

筆者之前對資安工作也是抱著淡漠的態度,靠著從事相關業務帶來的敏感度,總覺得現在資訊那麼發達,就算有事發生,應該也沒那麼嚴重吧?!直到看到家中的老人家不斷應付理由千奇百怪、要求提供個資的詐騙電話,再看到電視機前那些被詐騙了大半積蓄的老弱人士茫然的臉,想到自己總有一天也會「視茫茫、髮蒼蒼、思緒跟不上時代」,不禁由然升起一定要在自己還有能力的時候做些什麼的想法。但是面對資安工作千頭萬緒,該如何做呢?!



前期雜誌以程式安全為主軸,不知讀者是否會跟筆者一樣對兩件事留下深刻印象:一是政府與產業目前大力在推雲端服務,但雲的另一端的真實世界沒有我們想像中的美好,使用者的風險其實在增加,但卻少有人留意到這些風險並不會因為你選擇雲端服務模式而轉嫁,因為服務供應商一定會透過授權條款排除相關責任(參見前期第30頁李柏逸先生大作)。另一個印象則是來自於東森與某稅捐單位推動資安的努力,好像很讓人感動,這些參與者的辛苦確實也應該被彰顯,但真正嚴格探究下來,這些好像都是這些機關本來就應該做的工作吧?!

 

如果沒記錯,政府推動電子商務、電子化政府都已經超過10年了,這10年來在「資料安全維護」這一個領域政府到底做了什麼?非要等到犯罪猖獗、長官震怒,才開始有商業司願意出來推動我國的個人資料保護制度?!而各式與民眾生活相關的服務,包括遠距照護、行動金流、甚至是電子化政府上了雲端後,民眾的權益到底會受到什麼影響?該留意什麼?至今都沒看到真實誠意的說明,只看到相關單位長官們不斷畫出來的漂亮產值,和流於嘴唇服務式的安全保證。

 

現行法律可適用 宜參考「網銀契約範本」類似規範

台灣民眾對新科技的接受度之高,舉世聞名,但台灣人民對科技可能帶來的風險意識,其不知不覺的程度也是令人咋舌。面對這樣的態勢,作為一個納稅義務人、一個消費者和一個法律實務工作者,筆者實在忍不住套用衛生署長楊志良的觀點:「有能力的人該多負點責任」。證諸幾年來的實務推動經驗,既然資安工作不可能期待業者自律、政府自覺,那就用法律吧。從筆者的眼光來看,其實現行法律都有適用的空間,只是主管機關願不願意正視與承認的問題而已。以下臚列筆者以為可以下手的幾個方向供各界參考,相關想法當然不盡成熟,要實施也可能有困難度,但事在人為,只看政府是否願意正面處理資安的問題:



1.要求資訊科技產品與服務提供業者履行消費者保護責任[i]。



2.將金管會目前公告實施的「個人網路銀行業務服務定型化契約範本」(以下簡稱「網銀契約範本」)第14條[ii]類似規範適用到所有以網際網路、手機、PDA等載具做為媒介進行的交易,包括遠距照護、行動金流、無店面零售服務業等。



3.在電子化政府部分,建議可將「網銀契約範本第14條類似規範」明文納入國家賠償法,或將「舉證責任倒置」(編註)之規定納入所有與民眾權益有關的行政類法律條文;由於所涉法令繁雜,修法恐不勝麻煩,筆者以為至少要將「舉證責任倒置」規定明文納入與你我每年荷包息息相關的所得稅法。另可研議思考是否將「網銀契約範本第14條類似規範」或「舉證責任倒置規定」納入行政程序法和行政訴訟法中,概行政程序法和行政訴訟法是民眾與政府爭訟的基本大法,如能明文放入規範,可避免修法掛一漏萬之效。(當然,如果能夠納入憲法就更好。不過這恐怕只能算是筆者瘋言瘋語的建議了。)



[i] 消保法第7條:「從事設計、生產、製造商品或提供服務之企業經營者,於提供商品流通進入市場,或提供服務時,應確保該商品或服務,符合當時科技或專業水準可合理期待之安全性。 商品或服務具有危害消費者生命、身體、健康、財產之可能者,應於明顯處為警告標示及緊急處理危險之方法。」 第7-1條:「企業經營者主張其商品於流通進入市場,或其服務於提供時,符合當時科技或專業水準可合理期待之安全性者,就其主張之事實負舉證責任。 企業經營者違反前二項規定,致生損害於消費者或第三人時,應負連帶賠償責任。但企業經營者能證明其無過失者,法院得減輕其賠償責任。」 第10-1條:「本節所定企業經營者對消費者或第三人之損害賠償責任,不得預先約定限制或免除。」 第12條:「定型化契約中之條款違反誠信原則,對消費者顯失公平者,無效。」

 

[ii] 個人網路銀行業務服務定型化契約範本第14條:「第三人破解使用電腦之保護措施或利用電腦系統之漏洞爭議,由銀行就該事實不存在負舉證責任。駭客入侵銀行之電腦或相關設備者所發生之損害,由銀行負擔。」

 

 
編註:舉證責任倒置主義,亦即推定過失主義,加害人須證明自己無故意、過失,始得免責。而主張的一方無須負舉證責任。