網路空間秩序的加密攻防 (下)

2020 / 04 / 01

本文為行政院國家資通安全會報技術服務中心(技服中心) 資通安全法律及案例彙編」研究成果撰稿：林其樺(技服中心) 審閱：李婉萍(技服中心)

網路空間秩序的加密攻防 (上)篇文章，我們分享了各國執法機關與科技業者間的加密攻防。接下來我們將與大家分享當加密後門成難題時，企業的資通安全該如何因應。歡迎您互動交流。

加密後門成難題時，企業的資通安全因應
網路空間秩序形塑的過程中，政府對於加密內容從哪個階段可以取得合法監管地位、如何有效防範恐怖攻擊的危險前行為、如何杜絕假新聞所衍生的社會或政治風險，同時保障言論自由與表達自由等，這些都非常需要政府、企業與人民共同設計此信任機制。國際上已有科技業者呼籲政府以信任為基礎設計資料治理、監管政策，並認為加密問題的解決方案，不論是放寬加密演算法、釋出加密金鑰或提供政府存取後門等等，這些解決方案都存在著與隱私、安全相關等爭議，並且可能會衍生法律衝突或司法管轄權的難題。

微軟CEO納德拉於2018年提出六大政策中，其中有提到法律規範必須反映當代科技，信任機制的建立必須透過資安保障。從我國《資通安全管理法》(以下簡稱資安法)來看資安保障，資安法強調風險為基礎的資通安全管理，要求各機關依業務、機關層級、資訊、資通系統等條件，進行資通安全責任等級分級，進行資通系統防護。一旦，資通安全事件發生時，資安法要求機關完成損害控制或復原作業後，且持續進行事件調查及處理；我國資安法下的調查目的，在於釐清資通安全事件，阻止安全事件進一步擴大，這個與刑事訴訟法的刑事搜索有所不同，因此，如果執法涉及加密資料之取得及調查，仍應視資料屬性(如個人資料或營業秘密)回歸相關法律規範。

資安法著眼於國家整體資通安全保障，並未要求企業提供政府加密後門，亦未強制企業揭露所採

用的加密技術。因此，各機關應回歸檢視自身資通系統防護是否符合資安法各防護等級(普、中、高)，且相應要求的措施，不論是遠端存取控制、採加密模組鑑別資通系統、系統與通訊保護等，都是以安全強度為原則來規範企業。資安法的適用會因為各機關有不同屬性的資通系統或資通服務，而有不同的規範效果，因此資安法採取由主管機關(或中央目的事業主管機關)監督各機關所提出的資通安全維護計畫及維護計畫實施情形的規範模式。

藉由提升資通系統或資通服務提升業者產品或服務的安全強度，便能讓與產品或服務提供過程，所蒐集、處理或利用的資料，同步強化其安全性。業者建置信任機制一方面能讓危險網路行為有被防免、糾正機會，另一方面也有助於用戶於使用、服務體驗過程中，有機會做出適當選擇、行使權利，進而加深產品與服務的價值及影響力，業者因此也得以在面對執法、調查機關的需求狀況下，結合用戶經驗提供適切協助。國際標準提供隱私、資安管理新選項
網路世界沒有明確疆界，科技業者產品或服務全球化過程中，可能將面臨資料本土化、網路集中監管、技術支援等不同法規範要求，一旦遵循產生法律衝突，就會容易打擊用戶端對於科技業者的信任。因此，內部建立有效資料治理制度，統合管理產品與服務領域以因應不同的法遵要求，並於法規允許的範圍內，配合政府執法搜查資料同時斟酌隱私告知政策，將會成為科技業者所要面對政府加密資料存取要求同時建構用戶信任機制的一個選項。

國際標準組織(International Organization for Standardization, ISO)於2019年公布的ISO/IEC 27701隱私資訊管理標準，提供業者勾稽不同法規範體系的隱私、資安管理方向。該標準結合資訊安全及隱私管理，以資料控制者及資料處理者為標準適用主體，可供業者面對各國執法單位加密資料存取要求時，初步掌握是否為終端用戶、數位證據來源等資訊。但因該標準規範相容於不同法體系，業者界定驗證範圍時須明確掌握整體資通系統，建議由機關個資數量、資料敏感度、機關規模、資料處理等因素綜合判斷，法規依據則依機關設立地之準據法而定，彈性規劃相對應的隱私資訊管理、因應作法。

最後，網路空間秩序目前仍持續在形塑中，政府加密資料合法存取與客戶資料保護之間，如何相容，到底是要擴張法律解釋，或者是等待修法，使法律符合科技發展，這其中的發展與平衡，將成為時代議題，有待國際共識的落實。

[註]量子電腦：量子電腦被稱為下世代電腦，以量子位元(qubit)為單位並藉由量子力學來進行運算。有別於傳統電腦以位元(bit)為資料處理單位，量子位元可以進入疊加(quantum superposition)和糾纏(quantum entanglement)狀態，一個量子位元可能是0或1，或既是0又是1，使得量子電腦可以就大量資料進行平行運算。資料來源：泛科學，量子電腦為何比傳統電腦強大？量子運算的發展又有哪些挑戰呢？https://pansci.asia/archives/140036 (最後瀏覽日：2020年3月3日)。

本文為行政院國家資通安全會報技術服務中心(技服中心)資通安全法律及案例彙編研究成果
更多資通安全法律及案例之介紹與分析請參考技服中心網站:
https://www.nccst.nat.gov.tw/Law?lang=zh

閱讀相關文章: 網路空間秩序的加密攻防 (上) 各國執法機關與科技業者間的加密攻防。

資安法規資安加密