您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。 跳到主要內容
:::

法律彙編

考量資訊科技的蓬勃發展,資通安全威脅與相關議題日趨複雜、多元,本中心除針對我國資安法制及相關規範進行研議外,亦持續深入研究各項新興科技與應用之資安法制與政策議題。同時,為協助公務機關及各界瞭解資安法制議題之最新趨勢與管理作法,十餘年來,本中心持續蒐整國內外資安與資訊相關案例,並從法制與管理的角度,對案例進行分析,並提出因應建議與可行作法,供機關與各界參考。

請以左右鍵切換精選案例(最左邊)、自我評量(左邊)、評量解析(右邊)、下載專區(最右邊)之頁籤

類別:資訊保護【案號:S11011】國內某基金會個資外洩,影響2,000名考生

【焦點話題】

國內某政府捐助成立之基金會(下簡稱該基金會)針對111年度之新式學測辦理試辦考試,該試辦考試系統自110年4月1日上線,並自4月12日開始正式報名。該基金會於4月15日自行查知,其試辦考試報名系統之資料庫,遭駭客入侵,約有2,000筆學生報名資料(占報名總數2.67%)遭不明人士瀏覽,其發現後即通報權責機關,實施緊急應變措施,並進行系統調整與修補(系統邏輯之改善),強化資通安全防護措施,亦已依個人資料保護法之規定通知相關當事人。全案並送司法機關調查中。該基金會另說明此試辦考試系統與110年度指定科目考試系統不同,並完全區隔,因此110年度指考報名系統並未受此次事件影響。

【參考資料來源:聯合報,110/6/2】

【重點摘要】

  1. 資通安全管理法納管對象,除有資通安全責任等級分級辦法第11條第3項之情事外,依同辦法第11條第1項規定,應就其資通安全責任等級辦理應辦事項,若有自行或委外開發資通系統者,該等資通系統應依同辦法第11條第2項之規定,按該辦法附表九進行防護需求等級分級並落實該辦法附表十資通系統防護基準內對於使用者識別與鑑別以及身分驗證管理等措施,以強化系統之安全性。
  2. 未經授權侵入他人系統瀏覽資料之行為,可能構成刑法第358條利用電腦系統漏洞入侵電腦或相關設備罪;若涉及個人資料之外洩,該系統受駭之單位亦須依個人資料保護法第12條,以及個人資料保護法施行細則第22條等規定,通知相關當事人。如其為資安法納管對象(此案例為特定非公務機關),無論是否涉及個人資料外洩,應依資通安全管理法第18條等規定,進行資通安全事件之通報及應變。

【法律觀點】

新聞稿雖未揭露駭客係如何入侵報名系統,但由該基金會事後之修補措施(修正系統邏輯判斷缺失等)觀之,駭客可能係利用該系統邏輯判斷缺失加以入侵,此舉將構成刑法第358條無故利用電腦系統之漏洞,入侵他人之電腦或其相關設備之罪。

而本案學生報名資料遭「瀏覽」一節,如駭客除瀏覽外亦對資料進行複製、拍照、截圖、下載、刪除、竄改等行為,則亦可能取得、刪除或變更他人電腦或其相關設備之電磁紀錄[1],而不構成刑法第359條之罪[2];如有蒐集或處理個人資料之行為,也可能違反個人資料保護法第41或42條之罪[3]

依該基金會之組織性質,為政府捐助之財團法人,屬資通安全管理法所納管之特定非公務機關,而因試辦考試系統確有被入侵之事實,顯示其保護措施已失效,且相關情事對個資當事人有侵害之虞,此屬資通安全事件[4],因此,該基金會應依照資通安全管理法第18條第2項[5]與資通安全事件通報及應變辦法第11條[6]、第13條[7]之規定通報中央目的事業主管機關、完成損害控制或復原作業,並另應依個人資料保護法第12條[8]之規定,通知相關當事人。

【管理Tips】

如上述,本案可能與系統邏輯判斷缺失與密碼管理措施有關,以資通安全管理法及其子法就資通系統開發應遵循之規定,可視資通安全責任等級分級辦法附表十資通系統防護基準相關之內容,按系統與服務獲得構面之系統發展生命週期需求階段,即應針對系統安全需求(含機密性、完整性、可用性)進行確認,若屬中、高等級之系統,並應於系統發展生命週期設計階段,識別可能影響系統之威脅,進行風險分析及評估,並將評估結果進行安全需求修正,以確保開發出之系統具備一定程度之安全性。

【相關標準】  

ISO 27001:2013(CNS 27001)

  1. A. 14.1.1 資訊安全要求事項分析及規格
  1. 標準內容:

資訊安全相關要求事項,應納入新資訊系統或既有資訊系統之強化的要求事項中。

  1. 適用說明:

為強化機關組織之資通系統對於惡意入侵之防護能量,組織應於新系統之開發或既有系統更新、改版時,將缺乏安全性而可能面臨之潛在風險納入考量,並確實落實資訊安全相關要求。

ISO 27001:2013(CNS 27001)

  1. A. 14.2.8 系統安全測試
  1. 標準內容:

於開發中,應實施安全功能性之測試。

  1. 適用說明:

考量新系統或既有系統更新、改版之安全性,組織應對該等系統進行測試及查證,以確保其得如期如質運作。

 

關鍵字

全國性系統、駭客入侵、系統資訊存取管理、通行碼管理

類別:資訊保護【案號:S11012】求職面試時雇主要求面試者提供疫苗接種證明,是否適法?

【焦點話題】

目前國內民眾陸續施打COVID-19疫苗,有勞工面試時,被雇主要求提供疫苗接種證明,勞動部表示,接種證明屬於隱私資料,雇主若無正當理由即要求提供,將有違法問題。此外,國外求職網站Indeed之統計資料也顯示,新增的員工招募資訊中,有90%的職位要求求職者應「接種疫苗」。

【參考資料來源:中央社,110/09/03; HSRM,110/08/23; HRDIVE,110/08/25】

【重點摘要】

  1. 疫苗接種證明是疫情時代下產生的個人資料(下稱個資),歐盟、國際衛生組織等國際組織,均將其定義為健康個資,具有敏感性。我國個人資料保護法(下稱個資法)亦將個資區分為一般與特種個資,醫療個資即屬於特種個資的一種。又依據我國個資法施行細則之規定,疫苗接種證明符合醫療個資之定義,而屬於特種個資,原則上不得蒐集、處理、利用,僅例外如取得個資當事人書面同意時,始得蒐集、處理、利用。
  2. 就業服務法規定雇主不得要求求職者提供「非屬就業所需隱私資訊」。公司在招募資訊中欲要求疫苗接種證明者,應確認該證明是否屬於該招募職位所必須者。

【法律觀點】

我國個資法將6種個資定義為「特種個資」,包括病歷、醫療、基因、性生活、健康檢查、犯罪前科,原則上不得蒐集、處理或利用[9]。接種疫苗之證明,可能涉及醫療之個資類別。

依個資法施行細則之規定,醫療個資指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個資[10]。故判斷疫苗接種證明是否屬於醫療個資的認定上,應確認(1)是否由醫師或醫事人員進行;(2)目的是否為治療、矯正、預防人體疾病、傷害、殘缺;(3)是否有進行「診察及治療」;或基於以上之診察結果,所為處方、用藥、施術或處置。依據此標準,疫苗接種係由醫師或醫事人員,基於「預防人體疾病」之目的,並基於「可施打疫苗」之診察結果所為之「用藥」行為[11],故解釋上可歸為特種個資的類別,僅於符合個資法第6條第1項所規定之情形下,例如取得當事人書面同意時,始得蒐集、處理及利用。惟即使得到當事人書面同意,應注意若其他法律另有限制,例如涉及我國就業服務法之就業隱私規定時,不得僅依當事人書面同意便蒐集、處理或利用。

有關疫苗接種證明性質之討論同樣出現在歐盟資料保護委員會(European Data Protection Board, EDPB)與歐盟資料保護監督機構(European Data Protection Supervisor, EDPS)於2021年3月提出有關「數位綠色證明(Digital Green Certification)」[12]法規提案之共同意見[13]。此共同意見中明確表示數位綠色證明中所顯示之資訊,包含疫苗接種證明,為敏感資訊。世界衛生組織則指出,個人疫苗接種狀態是健康隱私資訊,需要採取法律與技術上之保護措施[14]

國際討論之焦點多集中於疫苗接種證明為個人健康隱私資訊、具有敏感性質,國家應恪遵保護人權與隱私的法律義務。至於特定行業或職務是否得要求求職者提供疫苗接種證明,於本案例撰寫之時,聯合國新冠肺炎危機處理小組強調航空業與航運業所屬從業人員,例如船員與空服員,在全球貿易、社會經濟復甦上佔有重要角色,尤其許多國家會要求船員或空服員入境時出示疫苗接種證明,故各國應將其列入疫苗之優先施打名單。至於雇主是否得於招募員工時要求提供此種證明,則為各國國內法之規範範圍[15]

根據我國就業服務法之規定,雇主在招募或僱用員工時,不可以違反求職人或員工意思,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需隱私資料[16]。疫苗接種證明屬於隱私資料確實沒有疑義,但是不是屬於就業所需資料,必須看事業單位的工作屬性及場域狀況來判別。因此,雇主若要求求職者提供疫苗接種證明,必須提出正當理由,亦即必須證明其要求提供之隱私資料,係該應徵職務所必須具備者,否則等於是要求勞工提供非就業所需資料,有違法之疑慮。

【管理Tips】

企業蒐集個資時,必須盤點並知悉個資保護或是隱私之相關規定,包括散落於其他法律規範中的隱私規定。例如就業服務法屬於勞動法令,然其中關於就業隱私的規範,也是公司應審慎納入法遵管理的一環。

若公司想要求求職者提供疫苗接種證明,首先應確認請求的正當目的,包括疫苗接種證明是否與該職務內容相關,且公司也應制定相當程序,確保求職者面試時,每位負責面試的主管或同仁均瞭解是否可以詢問接種疫苗之相關資訊。

【相關標準】  

ISO 27001:2013(CNS 27001)

  1. A.18.1.4 個人可識別資訊之隱私及保護
  1. 標準內容:

應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。

  1. 適用說明:

公司應定期盤點應適用的法令與法規,尤其需特別注意隱私與個資保護的相關規定,以招募新員工為例,就業服務法針對就業隱私資料之提供,規定應有「正當理由」,否則雇主不得要求提供。此種散落於勞動相關法規內、有關隱私之規定,公司應特別注意將其納入法遵的範疇。

ISO 27701:2019

  1. 6.4 .1.1 篩選(聘用前人力資源安全)
  1. 標準內容:

對所有可能被聘用者所進行之背景調查,宜依相關法律、規範及倫理,並宜相稱於營運要求及其將存取之資訊的保密等級及組織所察覺之風險聘用。

  1. 適用說明:

在篩選欲聘用之人才之前,組織會對應聘人員進行背景調查,調查時可能涉及對應聘者的資料蒐集。又就業服務法、個資法對雇主招募時蒐集資訊一事有相當規範,公司宜依據法規與就業倫理,考量蒐集與職位相關的資訊。

ISO 29100:2011(CNS29100)

  1. 5.4 蒐集限制
  1. 標準內容:

組織應將個人可是別資訊(personal identifiable information, PII)之蒐集限制於適用之法律及嚴格地為此指定目的所必要之邊界範圍內。組織不宜任意蒐集PII。蒐集之PII數量及形式二者均宜限制於符合由PII控制者規定之(合法)目的所必須者。

  1. 適用說明:

個資之蒐集,依法有一定之限制。在招募員工的法律關係下,就業服務法特別規定雇主不得要求求職者提供與就業無關之隱私資料。公司於蒐集、詢問求職者任何隱私資料之前,應審慎考慮此蒐集限制,以符合法律規定。

 

關鍵字

疫苗接種證明、醫療個資、就業服務法、就業隱私規範

類別:資訊保護【案號:S11013】高中生「學習歷程檔案」因委外廠商失誤而遺失

【焦點話題】

攸關高中生升大學的「學習歷程檔案」,2021年9月24日傳出因政府機關委外廠商之硬碟設定失誤而遭還原,造成81所學校檔案遺失。主因係政府機關委外廠商使用之學習歷程公版模組,進行資訊向上集中作業,逐步搬移到新機房內的虛擬主機,而該委外廠商於系統搬移到新機房運作十餘天之後,因系統更新而重新開機,發現部分虛擬主機的硬碟設定失誤,造成部分檔案無法連結。

【參考資料來源:聯合新聞網,110/09/26;關鍵評論,110/09/26】

【重點摘要】

  1. 本案例除涉及資通系統及資訊委外管理之外,也涉及資通安全防護及控制措施中的保管議題。資訊及資通系統之保管,除應將資訊與系統盤點造冊、分級並持續更新之外,亦應採取適當措施以確保資訊之妥善保存與備份。
  2. 組織亦應隨時注意業界對於技術安全措施的實施準則。以備份而言,目前業界實務操作,至少會製作三份備份,並將備份分別存放在兩種不同的儲存媒體,並至少有一份放置於異地保存。在重要資訊毀損滅失的風險實現時,完善的備份機制將可確保營運持續。

【法律觀點】

依據資通安全管理法(下稱資安法)第10條,本法納管之公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。資通安全管理法施行細則(下稱資安法施行細則)進一步列出資通安全維護計畫應包含之內容,包括「核心業務及其重要性」、「資通系統及資訊之盤點,並標示核心資通系統及相關資產」、「資通安全防護及控制措施」、「資通系統或服務委外辦理之管理措施」等事項[17]

承上資安法第10條、資安法施行細則第6條等規定所述,資安法所納管之公務機關應訂定並實施資通安全維護計畫,其中應包含「資通系統或服務委外辦理之管理措施」,並依資安法第9條之規定,審慎擇選委外之廠商並善盡相關監督義務,相關注意事項可依循資安法施行細則第4條規定,如選任及監督受託者時,受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證等,故資安法納管對象應依採購案之性質,適度要求廠商符合CNS27001(資訊技術-安全技術-資訊安全管理系統-要求事項)、CNS 27018(資訊技術-安全技術-公用雲 PII 處理者保護個人識別資訊(personal identifiable information, PII)之作業規範)或其他資通安全管理措施,此點亦被納入資訊服務採購之資安檢核事項表[18]中。

此外,我國個人資料保護法除規定個資的蒐集、處理、利用之外,亦特別於第4條與同法施行細則第8條規範委外管理之法律適用與監督機制,主要係為避免資料蒐集機關以委外關係免除責任,故規範若組織委託廠商進行個資的蒐集、處理、利用者,應對受託者實施適當監督,其中還包括組織上與技術上的安全措施,以避免個資遭竄改、毀損、滅失。

【管理Tips】

學習歷程檔案系統於過去亦曾發生類似事件,當時為公版模組發生問題,造成部分學生無法上傳檔案、甚或上傳後消失,相似事件一再發生之原因究竟為何?結合法律規範與管理來看,政府將標案給廠商後,「是否有適當之監督機制」、「監督內容與方式為何」、「行政部門有沒有專業人員具足夠資訊能力監督廠商」等,均為委外監督的範疇。至於防免資料毀損滅失上,則應確認「是否有定期進行模擬與演練」、「若發生資料毀損滅失,後續補救措施為何」等議題。前者包括廠商內部員工是否有進行社交工程演練、發生資料毀損滅失時的通報程序;後者則涉及資料毀損滅失時的應變機制、替代方案與補救計畫。

公司或是組織應依據上述有關委外監督、營運持續、資訊保存與管理建置標準作業流程,在每一次委外管理資通系統與資訊時均詳盡實施檢核。此外,更應隨時注意業界對於技術安全措施的實施準則。以備份而言,目前業界實務操作,至少會製作三份備份,並將備份分別存放在兩種不同的儲存媒體,並至少有一份放置於異地保存。尤其重要資料及核心資通系統應進行資料備份,其備份之頻率應滿足復原時間點目標之要求,並執行異地存放。此外,每季確認核心資通系統資料備份之有效性。且測試該等資料備份時,宜於專屬之測試系統上執行,而非直接覆寫回原資通系統,最後,備份資料如有機密性考量,宜加密保護之。在重要資訊毀損滅失的風險實現時,完善的備份機制將可確保營運持續。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. 8.1 運作之規劃及控制
  1. 標準內容:

組織應控制所規劃之變更,並審查非預期變更之後果,必要時採取行動以減輕任何負面效果。組織應確保委外過程經確定並受控制。(摘錄)

  1. 適用說明:

為了維護營運與資訊系統之可用性,組織對於資通系統應有適當的控制,若因人力、資源、專業之限制而須將部分資通系統、營運維護外包,也應確保委外的過程、監督委外。

ISO 27001:2013(CNS 27001)

  1. A.12.3.1 資訊備份
  1. 標準內容:

應依議定之備份政策,定期取得資訊、軟體及系統的影像備份副本,並測試之。

  1. 適用說明:

公司應設置備份政策,包括多久備份一次、備份方式為何、備份系統亦應經過測試。

 

關鍵字

資通安全管理法、個人資料保護法、委外監督、資料備份機制

類別:資訊保護【案號:S11014】外洩5.33億筆個資 Facebook未通知受害人

【焦點話題】

近日Facebook發生高達5.33億筆的使用者個人資料外洩事件,其中包含了使用者的生日、住址、姓名與電話號碼[19]等。Facebook未公開此事,也未通知受影響的用戶,其所持理由有兩項。首先,Facebook無法透過遭到外洩的資料,精確比對出到底要通知誰或哪個帳號;其次,即便Facebook對使用者發出了通知,無論使用者自己或Facebook官方,都無法改變數據已經遭到外洩的事實。就使用者角度來看,Facebook處理個資外流事件的做法,過於消極且意圖冷處理,並不可取。

【參考資料來源:T客邦,110/04/08;iThome,2021/04/07】

【重點摘要】

  1. 依個資法第12條及個資法施行細則第22條之規定,公務機關或非公務機關當個資遭到竊取、洩漏、竄改或其他侵害時,應以適當方式通知當事人,使其得以知悉個人資料遭違法侵害之情事,其內容應包括個人資料被侵害之事實及已採取之因應措施。
  2. 特定非公務機關在資安事件發生時,根據資通安全事件通報及應變辦法第11條之規定依中央目的事業主管機關指定之方式及對象,進行資通安全事件之通報。

【法律觀點】

現代人平常上網的時候,常常會需要在網路上留下個人資料,像是加入成為某網站之會員、網購時所填寫之資料或是在社群平台註冊時留下之資料等等。大量個人資料於網路中流動之同時,如何確保資料在網路平台上之安全,此對人們來說一直是個重要議題,故個人資料保護法第18條及第27條第1項之規定,公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,而非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

當個人資料被竊取、洩漏、竄改或其他侵害時,應於查明後通知當事人2,以使當事人得以知悉個人資料遭違法侵害之情事,以及時採取補救措施或提起救濟。其通知之內容3應包含個人資料被侵害之事實及已採取之因應措施,而通知之方式可包含言詞、書面、電話、簡訊、電子郵件、傳真、電子文件,甚至是網際網路或新聞媒體亦可。

另,如民間單位為資安法納管之特定非公務機關發生資安事件時,依資通安全事件通報及應變辦法相關規定,應於知悉資通安全事件1小時內,依中央目的事業主管機關指定之方式,進行資通安全事件之通報4。而中央目的事業主管機關接獲非公務機關通報或副知,或非因通報或副知而自行知悉個資外洩案件,經確認屬該機關管轄後,應於接獲通報、副知或知悉時起72小時內,填列監督通報紀錄表5,通報國發會,並得依個資法第22條至第25條規定,對該非公務機關為適當之監督管理措施6

【管理Tips】

近年來,關於社交平台個資外洩頻傳7,為防止個人資料被竊取、竄改、毀損、滅失或洩漏,組織依規定應制定個資安全措施。其措施,得包括配置管理之人員及相當資源、界定個人資料之範圍、個人資料之風險評估及管理機制、事故之預防、通報及應變機制、個人資料蒐集、處理及利用之內部管理程序、資料安全管理及人員管理、認知宣導及教育訓練、設備安全管理、資料安全稽核機制、使用紀錄、軌跡資料及證據保存、個人資料安全維護之整體持續改善等11點事項8,並以與所欲達成之個人資料保護目的間,具有適當比例為原則。

另,資通安全管理法16條及第17條之規定,關鍵基礎設施提供者及關鍵基礎設施提供者以外之特定非公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫,並依規定向中央目的事業主管機關提出資通安全維護計畫實施情形。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A. 18.1.1 適用之法規及契約的要求事項之識別
  1. 標準內容:

對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。

  1. 適用說明:

組織應依法判斷是否適用個資法,並識別組織所面臨上的法律風險,同時保護個人可識別資訊安全。

ISO 27001:2013(CNS 27001)

  1. A. 18.1.4 個人可識別資訊之隱私及保護
  1. 標準內容:

應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。

  1. 適用說明:

組織如有蒐集、處理或利用個資時,應對個資進行法律面上所要求之事項為法規符合度確認,並依法進行保護,而個資法因所適用之對象不分組織或個人,因此,個人亦應對其所持有個資進行適當保護。

 

關鍵字

個人資料保護法、個資事件通知、資通安全事件通報及應變辦法、安全維護計畫

類別:資訊保護【案號:S11015】NCC抽查台灣15款熱銷手機資安!

【焦點話題】

國家通訊傳播委員會(National Communications Commission,下簡稱NCC)公布109年智慧型手機內建軟體的資安抽測結果,抽查涵蓋15款機型,檢測其內建軟體之資安是否合格。此次抽查係依據NCC所公告之「智慧型手機系統內建軟體資通安全檢測技術規範」,目的為確保手機內建軟體與應用程式之安全性。NCC強調,此次公布通過抽查檢測之各款手機,僅代表其系統操作等內建軟體版本在檢測當下符合測項要求,考量目前資安事件層出不窮及駭客攻擊手法日新月異,因此手機內建軟體如有更新版本,手機製造商應就更新部分重新檢測及驗證,始能維持其通過之資安等級,如事後被發現其系統內建軟體有資安漏洞或風險時,製造商仍應及時修補,並請民眾注意相關修補資訊。

【參考資料來源:twcert/cc,109/6/12】

【重點摘要】

  1. 國家通訊傳播委員會訂有「智慧型手機系統內建軟體資通安全檢測技術規範」,將智慧型手機資通安全等級區分為初級、中級及高級,並以此發展智慧型手機系統內建軟體資安(Embedded Software on Smartphone Systems,ESS)認驗證標章。

【法律觀點】

針對手機之資訊安全,國家通訊傳播委員會(National Communications Commission, NCC)於106年3月3日公告智慧型手機系統內建軟體資通安全檢測技術規範(下稱技術規範),以作為智慧型手機製造商、經銷商、電信業者及資通安全檢測實驗室辦理檢測之依據,而當智慧型手機通過檢測後,即可取得「智慧型手機系統內建軟體資通安全等級標章」[20]。為因應不同使用者購買智慧型手機之價位考量及資安防護需求,智慧型手機系統內建軟體資安認證,依上述公告之技術規範分為初、中、高三個等級[21]。初級安全等級為智慧型手機基本隱私保護之最低要求,係應提供個人隱私相關之資料安全,包含手機安全性功能和敏感性資料之相關保護,如有蒐集敏感性資料之行為應明確告知使用者。而中級安全等級則應提供完整資料保護機制,所有資料之使用、儲存及傳輸時,皆可被安全保護。高級安全等級則應確保核心底層不被竄改或被不當擷取資訊。

由於該檢測並非基於強制性規定,而是為了提升消費者資安意識,帶動智慧型手機製造商重視手機內建軟體之資通安全而進行[22],因此並未檢測技術規範之所有項目;惟對業者而言,雖然尚不能因通過該次檢驗即以此宣稱通過技術規範之要求,NCC仍鼓勵業者透過自主或委託送測等方式,通過相關認驗證而取得認證標章[23]

【管理Tips】

為確保系統之安全性,系統於開發、運行等階段即應包含相關安全性之檢測,就資通安全管理法及其子法之相關規範中,有關安全性檢測,於系統運行階段可參照資通安全責任等級分級辦法附表一至附表六,有關技術面辦理事項,可能包含弱點掃描及滲透測試,而於系統開發階段,則可參照同辦法附表十,於系統與服務獲得構面之系統發展生命週期開發階段、測試階段,對於系統安全檢測之內容,依系統等級不同,可能包含源碼掃描(如檢測出OWASP Top 10、跨站腳本攻擊及資料庫注入,以及緩衝區溢位、程式碼不良寫法、臭蟲等)、滲透測試、弱點掃描(如檢測出OWASP Top 10、軟體元件版本弱點、通訊協定弱點等)等。

此外,現代科技日新月異,使用智慧型手機幾乎為生活不可或缺之狀態,生活中大小事可能因為求方便,而將重要訊息例如網路銀行或各網站帳號密碼、信用卡資訊等記載於手機,因此,無論智慧型手機的內建軟體或提供使用者自行安裝之軟體皆宜符合一定安全標準,以避免引發資安危機。

是以,NCC建議民眾應保持良好使用手機習慣,並提供「三不五要」口訣,加強使用者保護個人資料與隱私安全。而所謂「三不」即為:不強行取得根管理者(Root)權限或越獄(JB)、不瀏覽可疑網站、不連接可疑Wi-Fi接取點;「五要」則為:要定期更新密碼、要更新軟體程式及備份資料、要關閉未使用的Wi-Fi/藍牙/NFC等介面、連接的Wi-Fi接取點要開啟加密防護、手機廢置前要刪除機敏資料[24]

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A. 14.2.1 保全開發政策
  1. 標準內容:

應建立軟體及系統開發之規則,並應用至組織內之開發。

  1. 適用說明:

行動裝置上網佔有率已超越桌上型電腦,智慧型手機之相關營收亦年年成長,而製造商因開發智慧型手機必載內建軟體方可驅動,因此無論是出廠內建軟體、銷售商加載軟體或是無圖示軟體,均可依據主管機關所提供之開發APP相關資安規範,建立自己的APP開發規則,使所開發之APP符合法規要求。

ISO 27001:2013(CNS 27001)

  1. A. 14.2.8 系統安全測試
  1. 標準內容:

於開發中,應實施安全功能性之測試。

  1. 適用說明:

考量新系統或既有系統更新、改版之安全性,組織應對該等系統進行測試及查證,以確保其得如期如質運作。

 

關鍵字

智慧型手機系統內建軟體資通安全等級標章、智慧型手機系統內建軟體資通安全檢測技術規範


[1] 台灣臺中地方法院106年重訴字第405號民事裁定。

[2] 刑法第359條:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」

[3] 個人資料保護法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」;第42條:「意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。

[4] 資通安全管理法第3條第4款:「資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。」

[5] 資通安全管理法第18條第2項:「特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。」

[6] 資通安全事件通報及應變辦法第11條第1項:「特定非公務機關知悉資通安全事件後,應於一小時內依中央目的事業主管機關指定之方式,進行資通安全事件之通報。」

[7] 資通安全事件通報及應變辦法第13條第1項:「特定非公務機關知悉資通安全事件後,應依下列規定時間完成損害控制或復原作業,並依中央目的事業主管機關指定之方式辦理通知事宜:

一、第一級或第二級資通安全事件,於知悉該事件後七十二小時內。

二、第三級或第四級資通安全事件,於知悉該事件後三十六小時內。」

[8] 個人資料保護法第12條:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」

[9] 個人資料保護法第6條。

[10] 個人資料保護法施行細則第4條。

[11] 依據藥事法之規定,疫苗為生物藥品之一種,故施打疫苗之行為可定義為「用藥」行為。

[12] 數位綠色證明將包含以下資訊:疫苗接種證明(疫苗名稱與製造商、接種數量與接種日期)、檢測證明(檢測類型、檢測日期與時間、檢測中心與結果)、恢復證明(陽性檢驗結果日期、證明簽發者、簽發日期與有效日期)。

[13] EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate)

[14] 世界衛生組織(WHO)於2021年8月27日發布以下文件,表示疫苗接種證明:Digital documentation of COVID-19 certificates: vaccination status: technical specifications and implementation guidance, 27 August 2021. (Last updated: 2021.11.16)

[15] International Maritime Organization (IMO), UN organizations issue joint call for seafarers and aircrew to be prioritized for COVID-19 vaccination, 26 March 2021. (網址:https://www.imo.org/en/MediaCentre/PressBriefings/Pages/vaccination-UN-joint-statement.aspx ,最後瀏覽日:110年11月16日)

[16] 就業服務法第5條第2項:「雇主招募或僱用員工,不得有下列情事:一、為不實之廣告或揭示。二、違反求職人或員工之意思,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需之隱私資料。三、扣留求職人或員工財物或收取保證金。四、指派求職人或員工從事違背公共秩序或善良風俗之工作。五、辦理聘僱外國人之申請許可、招募、引進或管理事項,提供不實資料或健康檢查檢體。六、提供職缺之經常性薪資未達新臺幣四萬元而未公開揭示或告知其薪資範圍。」。

[17] 資通安全管理法施行細則第6條。

[18] 資訊服務採購之資安檢核事項表(網址:https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/8f9e71e4-e8ba-4ac9-abd5-ef38a9d6d5a2,最後瀏覽日:110年11月16日)

[19] 個人資料保護法第2條第1款:「本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

2 個人資料保護法第12條:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」

3 個人資料保護法施行細則第22條:「本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及

已採取之因應措施。」

4 資通安全事件通報及應變辦法第11條。

5 http://www.rootlaw.com.tw/Attach/L-Doc/A040240001016600-1100811-6000-001.pdf

6 行政院及所屬各機關落實個人資料保護聯繫作業要點第6條。

7 社群媒體個資外洩連環爆 傳Clubhouse 130萬人被看光,(網址:https://udn.com/news/story/7086/5381299 ,最後瀏覽日:110年9月10日)

8 個人資料保護法施行細則第12條。

[20] 智慧型手機系統內建軟體資安認驗證體系與推動方向二(一):「……106年4月20日「智慧型手機系統內建軟體資通安全等級標章」(Embedded SystemSecurity, ESS)認證服務正式啟動。鑑於目前國際標準組織與歐美先進國家提出的行動裝置資安規範多屬指引或風險評估,並未要求經檢測合格始得販售,為避免技術性貿易障礙,現行的智慧型手機資安檢測機制並非強制性,而是由手機製造商自主或委託送測。」(網址:https://nccnews.com.tw/202010/ch1.html ,最後瀏覽日:110年7月5日)

[21] 智慧型手機系統內建軟體資通安全檢測技術規範3。

[22] NCC公布109年手機內建軟體資安抽測結果(網址:https://www.ncc.gov.tw/chinese/news_detail.aspx?site_content_sn=8&sn_f=46299 ,最後瀏覽日:110年10月20日)

[23] 智慧型手機資安認證服務(網址:https://www.ncc.gov.tw/chinese/content.aspx?site_content_sn=5089 ,最後瀏覽日:110年10月20日)

[24] NCC公布108年手機內建軟體資安抽測結果(網址:https://www.ncc.gov.tw/chinese/news_detail.aspx?site_content_sn=8&cate=0&keyword=%e8%b3%87%e5%ae%89&is_history=0&pages=0&sn_f=43108 ,最後瀏覽日:110年7月5日)

自我評量

是非題:(每題十分)

  1. ( ) 特定非公務機關於知悉資通安全事件時,應向上級機關通報。【資訊保護S11011】
  2. ( ) 雇主在招募或僱用員工時,得因為求人員對於公司或業主向心力,可視情況所需,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需隱私資料。【資訊保護S11012】
  3. ( ) 公務機關應考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。【資訊保護S11013】
  4. ( ) 公務機關或非公務機關當個資遭到竊取、洩漏、竄改或其他侵害時,應確認情事後,依事件損害程度大小決定是否通知當事人,程度準則由機關明定之。【資訊保護S11014】
  5. ( ) 智慧型手機系統內建軟體資通安全檢測技術規範將智慧型手機資通安全等級區分為初級、中級及高級。【資訊保護S11015】

選擇題:(每題十分)

  1. ( ) 特定非公務機關發生資通安全事件時之通報,下列敘述何者錯誤? (1)特定非公務機關知悉資通安全事件後,應於二小時內依中央目的事業主管機關指定之方式,進行資通安全事件之通報。(2)前項資通安全事件等級變更時,特定非公務機關應依前項規定,續行通報。(3) 特定非公務機關因故無法依第一項規定方式通報者,應於同項規定之時間內依其他適當方式通報,並註記無法依規定方式通報之事由。(4) 特定非公務機關於無法依第一項規定方式通報之事由解除後,應依該方式補行通報。【資訊保護S11011】
  2. () 欲判斷疫苗接種證明是否屬於醫療個資的認定上,應確認下列何者?(1)是否由醫師或醫事人員進行。(2)目的是否為治療、矯正、預防人體疾病、傷害、殘缺。(3)是否有進行「診察及治療」;或基於以上之診察結果,所為處方、用藥、施術或處置。(4)以上皆是。【資訊保護S11012】
  3. ( ) 請問下列何者不屬於委外辦理資通系統之建置、維運或資通服務之提供,選任及監督受託者時應注意事項?(1)受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。(2)受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。(3) 受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應於知悉後24小時內通知委託機關及採行之補救措施。(4) 受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。【資訊保護S11013】
  4. ( ) 依資通安全管理法及其子法之規定,下列就特定非公務機關辦理資通安全事件之通報及應變,何者錯誤?(1)應通報之對象為其中央目的事業主管機關。(2)應通報之時限為知悉事件後之1小時內。(3)通報之方式由其中央目的事業主管機關指定。(4)以上皆錯誤。【資訊保護S11014】
  5. ( ) NCC為求民眾保持良好使用手機習慣.提供「三不五要」口訣,請問下列何者為「三不五要」?(1)密碼等想到再更新即可。(2) 不瀏覽可疑網站。(3) 手機廢置前要刪除機敏資料。(4) 不瀏覽可疑網站。【資訊保護S11015】

評量解析

是非題:(每題十分)

  1. (X) 特定非公務機關於知悉資通安全事件時,應向上級機關通報。【資訊保護S11011】

解析:依據資通安全管理法第18條第2項規定:「特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。」且依同條第3項特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。所以特定非公務機關通報對象應為中央目的事業主管機關,故答案為錯誤。

  1. (X) 雇主在招募或僱用員工時,得因為求人員對於公司或業主向心力,可視情況所需,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需隱私資料。【資訊保護S11012】

解析:依據就業服務法第5條第2項第二款規定:「雇主招募或僱用員工,不得有下列情事:二、違反求職人或員工之意思,留置其國民身分證、工作憑證或其他證明文件,或要求提供非屬就業所需之隱私資料。」故答案為錯誤。

  1. (O) 公務機關應考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。【資訊保護S11013】

解析:根據資通安全管理法第10條規定:「公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。」故答案為正確。

  1. (X) 公務機關或非公務機關當個資遭到竊取、洩漏、竄改或其他侵害時,應確認情事後,依事件損害程度大小決定是否通知當事人,程度準則由機關明定之。【資訊保護S11014】

解析:根據個人資料保護法第12條規定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」無論事件損害程度大小,都應以適當方式通知當事人。本法施行細則第22條則明定通知方式使當事人可得知悉之方式為之,故答案為錯誤。

  1. (O) 智慧型手機系統內建軟體資通安全檢測技術規範將智慧型手機資通安全等級區分為初級、中級及高級。【資訊保護S11015】

解析:為配合不同安全需求,NCC訂定之智慧型手機系統內建軟體資通安全檢測技術規範中,將智慧型手機資通安全等級區分為初級、中級及高級,並對各安全等級有不同適用要求及說明。故答案為正確。

解析:依照資通安全責任等級分級辦法第11條規定:「各機關應依其資通安全責任等級,辦理附表一至附表八之事項。」而附表一至附表八中,資通安全等級A級到C級分公務機關及特定非公務機關,各有不同應辦事項,則等級D級與E級為各機關適用之應辦事項,故答案為正確。

選擇題:(每題十分)

(1) 特定非公務機關發生資通安全事件時之通報,下列敘述何者錯誤? (1)特定非公務機關知悉資通安全事件後,應於二小時內依中央目的事業主管機關指定之方式,進行資通安全事件之通報。(2)前項資通安全事件等級變更時,特定非公務機關應依前項規定,續行通報。(3) 特定非公務機關因故無法依第一項規定方式通報者,應於同項規定之時間內依其他適當方式通報,並註記無法依規定方式通報之事由。(4) 特定非公務機關於無法依第一項規定方式通報之事由解除後,應依該方式補行通報。【資訊保護S11011】

解析:依據資通安全事件通報及應變辦法第11條規定:「特定非公務機關知悉資通安全事件後,應於一小時內依中央目的事業主管機關指定之方式,進行資通安全事件之通報。 前項資通安全事件等級變更時,特定非公務機關應依前項規定,續行通報。  特定非公務機關因故無法依第一項規定方式通報者,應於同項規定之時間內依其他適當方式通報,並註記無法依規定方式通報之事由。  特定非公務機關於無法依第一項規定方式通報之事由解除後,應依該方式補行通報。」特定非公務機關知悉資通安全事件後,應於一小時內依中央目的事業主管機關指定之方式,進行資通安全事件之通報,故選項(2)(3)(4)為正確,選項(1)為錯誤。

(4) 欲判斷疫苗接種證明是否屬於醫療個資的認定上,應確認下列何者?(1)是否由醫師或醫事人員進行。(2)目的是否為治療、矯正、預防人體疾病、傷害、殘缺。(3)是否有進行「診察及治療」;或基於以上之診察結果,所為處方、用藥、施術或處置。(4)以上皆是。【資訊保護S11012】

解析:根據個人資料保護法行細則第4條第2項規定:「本法第二條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。」故選項(4)為正確。

(3) 請問下列何者不屬於委外辦理資通系統之建置、維運或資通服務之提供,選任及監督受託者時應注意事項?(1)受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。(2)受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。(3) 受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應於知悉後24小時內通知委託機關及採行之補救措施。(4) 受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。【資訊保護S11013】

解析:根據資通安全管理法施行細則第4條第1項規定:「各機關依本法第九條規定委外辦理資通系統之建置、維運或資通服務之提供(以下簡稱受託業務),選任及監督受託者時,應注意下列事項:一、受託者辦理受託業務之相關程序及環境,應具備完善之資通安全管理措施或通過第三方驗證。二、受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。三、受託者辦理受託業務得否複委託、得複委託之範圍與對象,及複委託之受託者應具備之資通安全維護措施。……六、受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應立即通知委託機關及採行之補救措施。……」受託者執行受託業務,違反資通安全相關法令或知悉資通安全事件時,應採立即通報作業,故選項(3)為錯誤。

(4) 依資通安全管理法及其子法之規定,下列就特定非公務機關辦理資通安全事件之通報及應變,何者錯誤?(1)應通報之對象為其中央目的事業主管機關。(2)應通報之時限為知悉事件後之1小時內。(3)通報之方式由其中央目的事業主管機關指定。(4)以上皆錯誤。【資訊保護S11014】

解析:根據資通安全事件通報及應變辦法第11條規定:「特定非公務機關知悉資通安全事件後,應於一小時內依中央目的事業主管機關指定之方式,進行資通安全事件之通報。」故選項(4)為錯誤。

(1) NCC為求民眾保持良好使用手機習慣.提供「三不五要」口訣,請問下列何者為「三不五要」?(1)密碼等想到再更新即可。(2) 不瀏覽可疑網站。(3) 手機廢置前要刪除機敏資料。(4) 不瀏覽可疑網站。【資訊保護S11015】

解析:國家通訊傳播委員提倡「三不五要」之使用口訣,加強使用者保護個人資料與隱私安全,而「三不」即為:不強行取得根管理者(root)權限或越獄(JB)、不瀏覽可疑網站、不連接可疑Wi-Fi接取點;「五要」則為:要定期更新密碼、要更新軟體程式及備份資料、要關閉未使用的Wi-Fi/藍牙/NFC等介面、連接的Wi-Fi接取點要開啟加密防護、手機廢置前要刪除機敏資料。故選項(1)為錯誤。

自我評量檢測成果評分說明

得分

溫馨提醒

100分

資安小博士非您莫屬

80分~90分

小粗心,別灰心

60分~70分

釐清觀念,滿分到手

40分~50分

再接再厲,繼續努力

20分~30分

牛刀小試,再來一次


2022/5/3 下午 03:00:01