觀策站》後疫情時代,我們的資安保衛戰超前部署了嗎?(徐惠)
蔡英文總統(左)4日出席「2021臺灣資安大會開幕典禮」,與經濟部長王美花(右)主持資安大會啓動儀式。(鄭任南攝)
肆虐全球的新冠肺炎,雖有隨着各國施打疫苗後,逐漸趨緩的態勢,但疫情依舊嚴峻,這也使得全球的人口移動數量,並未回到疫情發生前的水準。但也因爲如此,疫情意外地加速了全球許多產業的「數位轉型」速度。微軟執行長納德拉(Satya Nadella)曾表示,他觀察新冠肺炎2個月疫情期間的數位轉型變化,大約是一般數位轉型2年所達成的成果。
也是受到新冠肺炎肆虐的影響,全球許多公司的員工自去年初開始,就被迫在家工作(work from home)。這使得原本就已部分在歐美施行的工作模式,快速拓展到可以透過遠端、線上作業的全體員工;而許多國際型實體會議也被「線上會議」取代。這種「在家工作」、「線上會議」、「雲端分享」的新型態工作模式,帶來了爆量的數位資訊以及許多資安的疑慮。爆量的數位資訊,更引起了網路駭客的覬覦。根據雲端公司Iomart的估算,大規模的網路駭客活動在疫情時代暴增,光是2020年的第一季,就暴增了237個百分點。因此,數位轉型後的資安問題,實爲後疫情時代各國政府更該關注的問題。
雖然許多先進國家,在疫情發生前,已經訂定了與資安有關的相關法案來防止大量的個資成爲駭客下手的目標。但各國政府自2020年起,就耗費極大的心力在對抗因病毒所衍生的各種民生、經濟問題。因此,面對龐大的駭客攻擊量,許多政府似乎顯得有點疲於奔命。反觀我國,相對於世界各國的疫情來說較不嚴峻,但「抗疫」成功的成果,似乎讓蔡政府衝昏了頭,沉浸在「口罩外交」的喜悅,而忽視了資安問題將成爲後疫情時代,公共治理的一項重要任務。
去年7月,行政院長蘇貞昌在臉書發表影片,大力推廣數位身分證的好處,並由內政部公告,將在2021年7月前,啓動換髮數位身分證的計劃。但在尚未制定專法、設立個資保護專責機構的前提下,這個計劃遭到民間團體、中研院等多個單位同聲反對。今年1月,蘇貞昌在各界質疑的聲浪中,宣佈將暫緩實施換髮數位身分證的計劃。更令人不解的是,內政部長徐國勇在解釋計劃暫緩的原因時,除了把駭客增加的因素,歸因於美中臺關係的改變(而不是因爆量的數位化資訊所帶來的),也坦承對於「專法」的主管機關應該是誰「目前沒有答案」。在還沒有「答案」的情況下,就強推數位身分證的轉型,這樣的施政,究竟爲何?
除此之外,過去一年多以來,各單位因防疫所需而取得了大量的數位資訊。關於這些取得的個資該如何處理,衛福部僅公告「實聯制措施指引」,要求「各場域所蒐集的民衆個人資料,均要指定專人辦理並善盡資料保護責任,最多存放28天,之後必須刪除或銷燬」。但這樣的「公告」,沒有立法做後盾,暨沒有獎勵也沒有罰則,如何取信於民?試問,這些各單位儲存的數位資料,是由誰專責負責,又是透過什麼專業技術防堵駭客入侵?資料存放28天后,是否真有被自動刪除?而是否又有專責的單位負責監督資料確實被銷燬?筆者強烈懷疑許多個資至今很可能還存放於各種單位的「數位垃圾桶」中,而並未徹底被銷燬。
筆者並非資安的專家,但筆者與一般大衆一樣,在疫情期間被蒐集了「很多次」的個資。筆者提出後疫情時代的資安問題,乃是希望督促政府相關單位,重視資安問題,不能總是用「大內宣」的方式,做選擇性的報導。
當然,換髮數位身分證的資安問題,與線上資料保存的資安問題也許不盡相同,但在後疫情時代,我國人民一定會有愈來愈多機會,暴露在被各種單位蒐集及整合的數位資料庫中,這些都非常容易成爲駭客集團攻擊的目標,也非常容易被有心人士透過比對,探知他人的偏好與隱私。政府應該趕緊推動與資安相關的立法,並設立專責的機構進行監督。因應疫情所要做的「部署」,還很多呢!