2018年7月23日 星期一

前所未見駭人聽聞—星國百萬個資外洩案的啟示

江雅綺(作者為台北科技大學智財所副教授、永社社員)

上報/評論 2018.07.23
https://www.upmedia.mg/news_info.php?SerialNo=44963

新加坡日前爆出史上最嚴重的個資外洩事件,駭客入侵星國最大的醫療服務集團系統,偷走了包括星國總理李顯龍等150萬名病人的個人資料,以及約16萬病人的用藥資料。

醫療服務所涉及的個人資料,在台灣《個資法》中屬特殊之「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料」敏感資料,原則上「不得蒐集、處理或利用。」除非有個資法第六條之法定依據。而新加坡人口數才560萬,駭客可謂一舉拿走了四分之一以上的星國人民敏感個資,實為前所未見,駭人聽聞 。

目前整起事件仍在調查中、案情尚不明朗,但根據新加坡官方表示,這是一件刻意的、有計畫的網路攻擊,並非一般的犯罪者所為。這似乎暗示了外國勢力的介入…尤其,此事在新加坡剛剛舉辦的美國和北韓的高峰會之後發生,難免令人聯想,新加坡自李光耀以來一貫靈活的以小搏大的外交政策、星國無可替代的地緣政治角色、以及它作為亞洲金融重鎮的地位,大國網軍和國際駭客對星國資訊,恐怕有覬覦之心。

雖然發生了大規模的個資外洩事件,但說起來,新加坡對網路安全與個資保護算是相當積極。2018年,新加坡甫通過了《網路安全法》(Cybersecurity Act) ,該法確立了維護國家網路安全的法規架構。有四大目標:

一是加強對星國關鍵資通訊設施的保護,避免受到網路攻擊;

二是授權網路安全主管機關避免威脅網安的事件發生、強化星國的網路環境安全;

三是在網路安全的前提下,建立政府和民間的合作;

四是對相關業者採取「輕管制」的方式,僅要求能接觸客戶敏感個資的業者需向官方申請執照 。

而新加坡的個資保護制度,是依循該國2012年的《個資保護法》(Personal Data Protection Act 2012 , PDPA),採用歐盟的資料保護專責機關模式,於2013年成立個資保護的單一機關 ,名為「個資保護委員會」(Personal Data Protection Committee, PDPC)。值得注意的是,該機關一方面是個資的管機理關,負責各項個資的監督、調查、處罰事項,另方面,該機關也常常站在輔導的角色,向社會大眾進行個資防護的宣導,並提供產業界關於個資法遵的原則 。

此外,由於國際上的個資法規進展甚快,在個資保護委員會之下,新加坡同時設置了諮詢委員會 ,諮委包含來自法律、科技、管理、消費者保護、產業代表…等各界長期關注相關政策領域的專家,隨時提供官方委員會關於個資保護的法規政策意見。

由上可知,新加坡關於網路安全、個資維護,不但法制已經建立、也都有各自的主管單位。同時,除了「監督、管理」的責任,新加坡亦強調「對產業法遵的協助、對社會大眾的觀念宣導」。

雖然新加坡的政治與法律制度,和台灣並不相同。但台灣也恰好在2018年通過了《資通安全管理法》,2010年通過《個人資料保護法》甚至更早於新加坡。

由法制面來看,台灣政府具有高度網路資訊安全、個資保護的意識;但是,駭客手法亦日新月異,如同星國網路安全署執行長David Koh所言 :「一開始我們發現小偷從窗戶進來、把店裡東西偷走,所以我們把窗戶鎖死。但很快我們又發現小偷藏在廚房。」眾所皆知,因為地緣政治,台灣在全球網路安全防護的網絡中,亦扮演著獨一無二的角色,倘若連新加坡總理的個資都免不了外洩,台灣更不可不慎。