您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

法律彙編

請以左右鍵切換精選案例(最左邊)、自我評量(左邊)、評量解析(右邊)、下載專區(最右邊)之頁籤

類別:資訊保護【編號:S10701】哥哥個資全PO網 弟討債反挨罰9萬

                              

【焦點話題】

林姓男子不滿其兄避不出面處理債務糾紛,去年4月將載有其兄姓名、出生年月日、身份證字號、住處之土地謄本、本票強制執行狀、家事起訴狀、假扣押狀等具有個人資料之資料,全部張貼於其臉書上,其兄得知後報警處理,林男被檢方依違反個人資料保護法起訴。法院認為,林男明知土地登記謄本等文件載有其兄之個人資料,仍於臉書上張貼其兄之個人資料,使不特定人士只要瀏覽其臉書就可得知,依「非法利用個人資料罪」處以3個月有期徒刑,得易科9萬元罰金[1]

【參考資料來源:自由時報,106/3/12

【重點摘要】

  1. 姓名、出生年月日、身份證字號、住處的土地謄本、本票強制執行狀、家事起訴狀、假扣押狀等,只要是能夠直接或間接識別個人之資料均屬個人資料。
  2. 於臉書發表貼文若包含個人資料時,即屬使用他人個人資料之情形,需符合法定使用要件方可使用。

【法律觀點】

土地謄本、本票強制執行狀、家事起訴狀、假扣押狀等文件,所載姓名、出生年月日、身份證字號、住處等,均屬個人資料,受到個人資料保護法之保護,必須符合法定要件方可蒐集、處理,且原則不得為特定目的外之利用。

個人資料保護法對於未遵守該法應盡義務或違反該法之規範,訂有罰則[2],本案當事人因欲要求對方還款,即張貼他人個人資料於臉書,而對於個人資料之使用,如前所屬須符合法定要件,本案當事人對於該個人資料之使用顯非出於合法或正當之目的,亦已超出必要範圍[3],按個人資料保護法之規定,即可能受諸如有期徒刑、罰金等刑事責任追究(本案即遭處以3個月有期徒刑,得易科9萬元罰金),其次,除了刑事責任外,依個人資料保護法第29條規定,亦可能遭到權利受侵害人請求損害賠償。

【管理Tips

個人資料於網路應用時,應注意以下兩點:一、資料之利用應與蒐集時應與原始目的相符。本案林男將記載有其兄之個人資料之文件隨意張貼並公開於網路上,已與原始蒐集之目的不相符,已違反個人資料保護法關於個人資料應於目的內利用之規定。二、個人資料之公開除個人資料保護法外,仍應注意是否觸犯其他相關法規或法令的規定。

如為組織經營粉絲團或其他社群媒體,前開事項亦應相同注意,組織於管理時,應制定正確之個人資料保護規範(如訂定個人資料檔案安全維護計畫),而除定期做員工教育訓練與資訊安全政策宣導外,應將個人資料蒐集時之特定目的予以盤點,使員工於處理及利用時能知悉其可應用之範圍,避免發生合理範圍外之使用。

【相關標準】

ISO 270012013CNS 27001

  1. A.18.1.4  個人可識別資訊之隱私及保護
  1. 標準內容:

應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。

  1. 適用說明:

本案中,土地謄本、本票強制執行狀、家事起訴狀、假扣押狀等文件所包含之姓名、出生年月日、身份證字號、住處等均屬個人資料,應確保利用時係依法為之。

ISO 291002011CNS29100

  1. 5.3  目的適法性及規定
  1. 標準內容:

個人可識別資訊之使用與處理時,相關目的應以遵從適用之法律為基礎。

  1. 適用說明:

利用個資時應符合蒐集目的所適用之法令為依歸,本案即係當事人未考量蒐集目的而違法利用之情形。

類別:資訊保護【編號:S10702】擔心個資外洩 第三類謄本更安全

                              

【焦點話題】

過去許多民眾都因舊制謄本揭露資訊過分詳細、開放任何人申請,導致土地開發業者或仲介業者據此登門叨擾。內政機關已修正「土地登記規則」第24-1條條文,自201522日起,原規定任何人皆能申請的第二類土地登記謄本,改以去識別化方式,僅公開所有權人的姓氏、部分國民身份證統一編號,但仍保留完整住址資料,以促進土地利用及整合開發需要,假如民眾有疑慮,可請求隱匿部分地址資料,並新增利害關係人才能申請的第三類土地登記謄本,增加謄本分級,保護個資安全。此外,新制三類謄本亦依照申請人資格不同,將謄本分為三類:第一類謄本,顯示登記名義人全部資料,限登記名義人或其代理人才可申請;第二類謄本,隱匿登記名義人的出生日期、部分姓名、部分統一編號、債務人及債務額比例、設定義務人及其他依法令規定需隱匿資料,任何人都能申請;第三類謄本,隱匿登記名義人的統一編號、出生日期,限利害關係人才可申請。

【參考資料來源:自由電子報,106/6/25

【重點摘要】

  1. 土地謄本區分為三類,第一類:顯示登記名義人全部登記資料;第二類:隱匿登記名義人之出生日期、部分姓名、部分統一編號、債務人及債務額比例、設定義務人及其他依法令規定需隱匿之資料。;第三類:隱匿登記名義人之統一編號、出生日期之資料。
  2. 姓名或其他個人資訊如以編號顯示,僅公開未涉隱私部分,且以匿名化或去識別化處理,此種情形無從識別特定個人而無侵害隱私權之虞。

【法律觀點】

地籍謄本舊制時,任何人皆可申請之第二類謄本(包含登記名義人完整之姓名與地址),而蒐集第二類謄本多為房仲業者,透過自地政機關合法取得之謄本資料,知悉登記名義人姓名、地址,藉此發信請求委託出賣房屋,多造成住戶困擾。亦因此促成土地登記規則之修正,依修正后土地登記規則第24-1[4]規定,土地謄本區分為三類,第一類:顯示登記名義人全部登記資料,僅登記名義人或其他依法令得申請者方得申請;第二類:隱匿登記名義人之出生日期、部分姓名、部分統一編號、債務人及債務額比例、設定義務人及其他依法令規定需隱匿之資料。但限制登記、非自然人之姓名及統一編號,不在此限,此類謄本任何人均得申請;第三類:隱匿登記名義人之統一編號、出生日期之資料,此類則係登記名義人、具有法律上通知義務或權利義務得喪變更關係之利害關係人得申請。

法務部法律字第10100253980號函[5]明示,針對姓名或其他個人資訊如以編號顯示,僅公開其餘未涉隱私部分,且匿名化或去識別化處理,此種情形無從識別特定個人而無侵害隱私權之虞。亦即應將「公開個人資料欲增進之公共利益」與「不公開個人資料所保護之隱私權益」間予以比較衡量判斷後,方得決定是否應將資料予以公開。因此,為保障個人隱私權,同時兼顧不動產交易安全,主管機關修訂土地登記規則,將第二類謄本之登記名義人之出生日期、部分姓名、部分統一編號、債務人及債務額比例、設定義務人及其他依法令規定需隱匿之資料予以部分隱匿,且如登記名義人為自然人時,得依登記名義人之請求,提供申請住址隱匿服務[6],以避免登記名義人之個人資料受到過度揭露。

【管理Tips

資料分級控管一直在資訊管理中具備一定的重要性,且分類亦應與時俱進,就如同土地登記規則將原本的二種謄本再劃分為三種,即是在因應個人資料保護法等新規定,為提升對於當事人保障所增加的新制,藉由使用目的與對象之不同,分別標示所需之資料,以強化防護。

雖然一般組織並沒有強制規定要將資訊進行分類分級,但藉由分級制度區分各類文件的管控方式,有助於提升組織內部風險控管效率,且文件上清楚標示機密等級,亦能協助企業員工瞭解文件重要性,並依規定處理,建立重要資料防護機制。

【相關標準】

ISO 270012013CNS 27001

  1. A.8.2.1  資訊之分級
  1. 標準內容:

資訊應依法律要求、價值、重要性及對未經授權揭露或修改之敏感性分級。

  1. 適用說明:

以本案例而言,透過地籍謄本分級可將無揭露必要之資訊過濾後再予適度公開,達到資訊流通與資訊安全之平衡。

ISO 291002011CNS29100

  1. 5.5  資料極小化
  1. 標準內容:

個人可識例資料之處理及揭露,僅確保採用「僅知(need-to-know)」原則,在合法目的下揭露必要之資料。

  1. 適用說明:

因不同權利人所得知悉、需要之資料並不盡相同,故本案之地籍謄本亦須同此概念,予以區分不同對象,以不同類別之地籍謄本分別揭露必要之資訊。

類別:資訊保護【編號:S10703】因應APCN-2海纜斷線,有關機關督促業者辦理頻寬調度並儘速排除障礙

                              

【焦點話題】

通傳主管機關指出,近來固網業者因國際海纜(亞太2號海底電纜,Asia Pacific Cable Network-2, APCN-2)斷訊,造成上網阻塞、中斷等對用戶之不利影響,顯示出業者之備援計畫及應變能力尚須強化。該機關已督促業者於海纜斷訊障礙排除前,積極向其他國際海纜業者調度可用海纜頻寬,以紓解對美國等之網際網路壅塞現象。

此外,為提升電信事業之網域名稱伺服器(Domain Name Server, DNS)之資通安全防護能力,該機關擇選具DNS主要設施之10家電信業者,於年中辦理DNS實兵攻防演練及情境演練,以驗證其DNS安全防護機制及通報、應變處置程序,並督促電信事業加強DNS設施安全防護能量,確保服務提供及持續營運。未來亦將持續督導電信事業並配合有關機關辦理關鍵基礎設施防護(Critical Infrastructure Protection, CIP)及關鍵資訊基礎設施防護(Critical Information Infrastructure Protection, CIIP)之年度訪評及演練,並參與跨領域資安演練,以進一步提升電信事業跨領域資安防護與應變能力。

【參考資料來源:自由電子報,106/5/1

【重點摘要】

  1. 國家關鍵基礎設施安全防護指導綱要針對關鍵基礎設施之分類,其主部門包含能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類。
  2. 資通安全管理法草案亦規範,非公務機關若經指定為關鍵基礎設施提供者,除應訂定、修正、實施資通安全維護計畫,並繳交年度資通安全維護計畫實施情形外,亦應辦理資安事件之通報應變,及執行機關所屬資通安全責任等級所要求之應辦事項。
  3. 業者依契約內容提供服務者,應確保其服務穩定供給,若生服務中斷等情事,除契約中已合法約定免責條款外,應對契約相對人為適當補償,而若因此致生損害者,權益受損者亦得向業者提起債務不履行損害賠償訴訟,以資救濟。

【法律觀點】

現代科技日新月異,而人民需求雖依時間可能有所不同,但維持基本生活仍為最低要求,依據國家關鍵基礎設施安全防護指導綱要,關鍵基礎設施範圍之主部門分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類,其下並各分為數項次領域及重要元件設施[7]

而現於立法院審議之資通安全管理法草案,所規範之關鍵基礎設施係指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,並經行政院公告者[8]。而關鍵基礎設施提供者則指經行政院核定之維運或提供關鍵基礎設施之非公務機關[9]

綜合以上規定可知,待資通安全管理法草案通過後,如非公務機關維運或提供國家關鍵基礎設施安全防護指導綱要所定領域之關鍵基礎設施,且經行政院核定為關鍵基礎設施提供者時,其即應受資通安全管理法之約束;除應符合其所屬資通安全責任等級之要求外,亦須訂定、修正及實施資通安全維護計畫、向主管機關提出資通安全維護計畫實施情形,遇資安事件則應進行事件之通報與應變,且於其資通安全管理有缺失或待改善情形時,亦須提出相應之改善報告[10]

除了上述法令要求外,針對業者與消費者間之服務提供,應屬契約關係,業者應提供穩定且合適之服務予消費者,若生服務中斷等情事,除於契約內具合法之免責條款約定外,應以諸如退費等方式為適度之補償,而若致使消費者產生損失,業者面臨消費者所提債務不履行之訴時,亦可能有損害賠償之責任。

綜合上述,如認海底電纜屬國家關鍵基礎設施安全防護指導綱要中所定之通訊傳播類別之關鍵基礎設施,雖然現行之國家關鍵基礎設施安全防護指導綱要之規範範圍僅為行政院及所屬各級機關(構)、行政法人、國營事業、地方政府,尚未含括國營事業以外之一般民間業者[11];但於資通安全管理法通過後,民間業者倘經核定為關鍵基礎設施提供者時,即負有訂定資通安全維護計畫,並於事故發生時依法進行通報及應變之義務,且須於事件因應之階段性任務完成後,向主管機關提出調查、處理及改善報告等。此外,考量業者與消費者間之消費、服務契約關係,業者應負有維持其服務正常、穩定之義務,若產生服務中斷等情事,應有諸如退費等相關因應之機制,且若因而致生消費者之損失時,可能須負損害賠償責任。

【管理Tips

資通安全管理法草案對於關鍵基礎設施提供者,於第2條第1項第7款係有定義,而有高度要求之原因,在於其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響,故於第15條要求關鍵基礎設施提供者平時即應備有資通安全維護計畫,以進行資通安全之管理。

而在資通安全管理法草案尚未提出前,國家通訊傳播委員會已針對電信事業之資訊通訊安全管理作業訂定電信事業資訊通訊安全管理作業要點[12],並據以公告電信事業資通安全管理手冊,其主要架構為建立(一)資通安全管理標準;(二)資通安全等級評估;(三)資通安全管理機制;(四)資通安全教育訓練;(五)資通安全應變通報;(六)資通安全實施評鑑。

前述要點及手冊之規定,以及審議中之相關資通安全管理法草案及其子法,應均會就資通安全維護計畫之必要事項、實施情形之提出方法及事件之通報、應變等內容為規定,其項目與內容即可作為一般組織於進行資通安全管理時之參考。為強化組織面對資通安全事件時的應變能力,組織針對重要設施之管理,尤應備有資通安全管理機制,並定期演練緊急應變計畫,以提升內部人員之應變能力,並確保組織具備持續提供服務與營運之能力。

【相關標準】

ISO 270012013CNS 27001

  1. A.16.1  資訊安全事故及改善之管理
  1. 標準內容:

確保對資訊安全事故之管理的一致及有效作法,包括對安全事件及弱點之傳達。

  1. 適用說明:

資安事故(資安事件)之處理應建立一致及有效作法,以作為事故改善依據,包含事件之調查、處理以及相關通報。本案中負責海底電纜之關鍵基礎設施提供者,若於資安管理法通過後,除平時應訂定、修正及實施資通安全維護計畫,以及按其資安責任等級辦理相關應辦事項外,遇資安事件時亦應妥善進行事件之處理,並為通報,使相關機關知悉該資安事件

  1. A.17.2.1  維持資訊處理基礎設施可用性
  1. 標準內容:

應對資訊處理措施實施充分之多重備援,以符合可用性要求。

  1. 適用說明:

組織應就針對其資訊設施維持多重備援機制,以因應不可預見之事故、侵害發生時,使資訊設施仍得以正常運作,不致影響組織運作。本案中負責海底電纜之關鍵基礎設施提供者,如平時備有相關備援之機制,例如與其他組織合作備援計畫等,應可儘可能降低所受障礙之衝擊。

類別:資訊公開【編號:D10704】健康風險評估不給看 環團怒向市府提訴願

                              

【焦點話題】

某市府環保主管機關曾於103年進行臨海工業區鄰近區域居民之健康風險評估,惟評估報告迄今仍未公佈,環保團體去函要求市府環保主管機關報告公開上網,但日前收到回函表示該評估內容依政府資訊公開法屬「應限制公開或不予提供」之資訊,而回絕公開要求。對此,環保團體表示政府一方面宣示啟動緊急應變、管制揮發性有機化合物,但應公開給社會知曉之重要資訊卻未予公開,認為基於保障人民知的權利、增進人民對公共事務的瞭解、信賴及監督,政府沒有理由反對,已向市府提出訴願,爭取報告公開。

對環團之質疑與訴願,市府解釋,該份調查報告是以排放係數方式推估排放量,不是以實際檢測到的數據來計算,推估方式易造成誤導,所以已請中央環保主管機關在今年以實際檢測污染源排放量來進行風險評估,目前已進行中,也尊重環團提訴願,市府會依照程序答辯。

【資料來源:蘋果日報,106/9/23

【重點摘要】

  1. 政府資訊中,除為應限制公開或不予提供之國安資訊或依法應保密事項、執法資訊、特定公務資訊以及祕密資訊等資訊外,主管機關應主動公開或應人民申請提供之。
  2. 政府機關應建立完善之資料盤點流程,盤點出機關所持有之政府資訊,並建立清冊,藉以降低處理行政救濟案件時之成本,進而提高行政效率。

【法律觀點】

政府機關於職權範圍內作成或取得而存在於文書、圖畫、照片、磁碟、磁帶、光碟片、微縮片、積體電路晶片等媒介物及其他得以讀、看、聽或以技術、輔助方法理解之任何紀錄內之訊息均屬政府資訊[13]

依政府資訊公開法第7條規定,包括施政計畫、業務統計及研究報告等政府資訊,除有同法第18條限制公開或不予提供之事由外,均屬政府應主動公開之資訊[14],其中研究報告係指由政府機關編列預算委託專家、學者進行之報告或派赴國外從事考察、進修、研究或實習人員所提出之報告[15]

本案之臨海工業區鄰近區域居民健康風險評估計畫[16],屬於政府機關編列預算委託專家、學者所進行之報告,亦即政府資訊公開法所稱之研究報告,因此除有第18條第1[17]限制公開事由外,均應主動公開。該相關限制事由,依其性質可分為,國安資訊或依法應保密事項(第1款)、執法資訊(第24款)、特定公務資訊(第3589款)以及祕密資訊(第67款)。市府相關機關以調查報告是以排放係數方式推估排放量,推估方式易造成誤導為理由,而拒絕提供研究報告,檢視前述限制公開事由,相關機關所據以之理由似非屬政府資訊公開法第18條第1項所載應限制公開或不予提供之政府資訊事項,市府機關並無法據此拒絕提供研究報告。

因此,市府相關機關應主動公開所委託學者作成的臨海工業區鄰近區域居民健康風險評估研究報告。如於民眾提出申請後15日期間[18],不為準駁之決定或拒絕其申請,申請人得依法提起訴願、行政訴訟等行政救濟[19]

【管理Tips

政府資訊公開之目的,在於增進一般民眾對公共事務之瞭解、信賴及監督,故機關應確實知悉在政府資訊公開法中,何類政府資訊屬於應主動公開或應人民申請而公開,以及何類政府資訊屬於應限制公開或不予提供,確保其公開或不公開均符合法律規定,以使一般民眾能確實瞭解公共事務,進而促進民主參與。

當人民對政府資訊屬限制公開或不予提供之決定有疑義,而對政府機關提出訴願及行政訴訟等行政救濟時,政府機關需對其限制公開或不予提供之緣由提出說明,因此政府機關應建立完善之資料盤點流程,分類盤點出機關所持有之政府資訊,藉以降低處理行政救濟案件時成本,進而提高行政效率。

【相關標準】

ISO 270012013(CNS 27001)

  1. A.8.1.1  資產清冊
  1. 標準內容:

應識別與資訊及資訊處理設施相關聯之資產,並製作及維持此等資產之清冊。

  1. 適用說明:

組織為釐清其持有之資產,以及對於該等資產進行妥適之分類、分級等管理措施,對於其所持有之資產應予以分類並製表列冊,以供需要時得以快速檢驗。本案政府機關對於其所管之資訊,平時即應妥適進行盤點並列冊管考,其中屬限制公開或不予提供者,加註說明。

類別:資訊應用【編號:A10705】未來無人機使用者 可能須先註冊方得操作

                              

【焦點話題】

民航主管機關去年3月預告擬修正《民用航空法》(下稱民航法)部分條文,未來民眾持有最大起飛重量高於250公克以上之遙控無人機,或此類無人機係屬公務機關或法人所有者,應辦理註冊。且操作遙控無人機者,亦須經測驗合格,並取得操作證。違反相關規定者,將被處以罰鍰。此外,民航主管機關表示,由於無人機使用者於辦理註冊時,須以真實姓名及聯絡方式為之,民航主管機關規劃與健保卡結合,惟此部分尚須經衛福主管機關同意,故有待透過共同上級機關與衛福主管機關進行溝通。

【參考資料來源:蘋果日報,106/7/19

【重點摘要】

  1. 民航法修正草案之遙控無人機係指自遙控設備以信號鏈路進行飛航控制之無人航空器。
  2. 為求有效管理,民用航空法修正草案要求最大起飛重量高於250公克以上等之遙控無人機,使用者必須以真實姓名及聯絡方式,向主管機關註冊。

【法律觀點】

遙控無人機之風行,時聞有致生飛安、公安、國安等問題之虞,而目前又欠缺適當法令可予事前規範,而必須於危安事件發生後,再視狀況加以處理。例如:於機場四周管制範圍內,有礙飛航安全物體係依民航法處理;撞毀他人建築物時,建築物所有權人依照民法請求損害賠償;於要塞堡壘地帶之禁航區內為非法偵查時,則依要塞堡壘法加以規範[20],適用上未必均能及時妥適處置遙控無人機所引發的問題。為求對相關問題能有更切合實際之處理,民航主管機關於1063月預告「民用航空法」部分條文修正草案[21],為遙控無人機訂定專章。

民航法修正草案,定義遙控無人機為:自遙控設備以信號鏈路進行飛航控制之無人航空器[22]。而最大起飛重量高於250公克以上等之遙控無人機,使用者必須以真實姓名及聯絡方式,向民航主管機關註冊;而操作最大起飛重量25公斤以上、公務機關或法人所有之遙控無人機,或最大起飛重量1公斤以上而不逾25公斤且裝置導航設備之遙控無人機時,使用者亦須通過測驗取得操作證[23]

因遙控無人機係以信號連結進行飛航控制,他人不易預測其實際運作狀態,為避免因人為控制或資通設備發生故障,進而影響飛航及國家安全,故該法亦擬限制遙控無人機之活動範圍,日後將由民航主管機關公告禁止使用遙控無人機之區域[24];此外亦明定從事遙控無人機活動應遵守之規定[25],包括遙控無人機距地表高度不得逾四百呎、不得以遙控無人機投擲或噴灑任何物件等。且如草案獲通過,則日後因遙控無人機造成損害時,遙控無人機之所有人依規定必須負絕對責任[26],亦即縱使所有人無故意或過失,例如,因為天災而導致損害發生,所有人仍應要負損害賠償責任。

【管理Tips

若遙控無人機出現狀況時,諸如於空中因程式設計不當而墜毀、因駭客入侵系統使遙控無人機無法正常運行等,均可能因而致生人民生命、財產之損失,特別是目前有關駭客主要攻擊之對象,其一即為控制無人機之物聯網裝置設備,該等設備之資訊安全問題已成為網路安全新興風險議題,準此,相關產品之開發單位於產品設計時,即須將資通安全相關事項加入產品功能中,而使用者於產品使用時,亦須注意相關資訊安全相關措施,以避免或抵禦駭客攻擊等侵害行為而導致無法操控之損失。

【相關標準】

ISO 270012013CNS 27001

  1. A.11.2.8  無人看管的資訊設備
  1. 標準內容:

使用者應確保無人看管之設備具適切保護。

  1. 適用說明:

因無人機可能之運行方式可能為人為操控,抑或為自動運行,而為確保無人機設備之安全性,無人機擁有者應確保無人機在運行過程中有適當保護措施,不致遭人惡意攻擊致無法正常運行,或是成為恐怖攻擊之器具。

  1. A.13.1.2  網路服務之安全
  1. 標準內容:

應識別所有網路服務之安全機制、服務等級及管理要求事項,並應被納入網路服務協議中,不論此等服務係由內部或委外提供。

  1. 適用說明:

無人機設備若需透過網際網路等進行資料傳輸以為控制,應具備相當之通訊安全措施,以避免遭到駭客攻擊等入侵,並造成其他損害。

 

[1] 臺灣基隆地方法院106年基簡字第21號刑事判決。

[2] 個人資料保護法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項

、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」

[3] 同註1,判決理由書。

[4] 土地登記規則第24-1條第1項:「申請提供土地登記及地價資料,其資料分類及內容如下:一、第一類:顯示登記名義人全部登記資料。二、第二類:隱匿登記名義人之出生日期、部分姓名、部分統一編號、債務人及債務額比例、設定義務人及其他依法令規定需隱匿之資料。但限制登記、非自然人之姓名及統一編號,不在此限。三、第三類:隱匿登記名義人之統一編號、出生日期之資料。」。

[5] 法務部法律字第10100253980號函釋要旨:「個人資料保護法第5條、政府資訊公開法第18條等規定參照,公務機關將個人資料提供民意代表作為審查公務機關預算使用時,如資料就姓名部分以編號顯示,亦以編號對應個別優惠存款額度,似係就「公開個人資料欲增進之公共利益」與「不公開個人資料所保護之隱私權益」間比較衡量判斷,而依上述規定,僅公開其餘未涉隱私部分,且匿名化或去識別化處理,已無從識別特定個人而無侵害隱私權之虞。」。

[6] 土地登記規則第24-1條第2項:「前項第二款資料,得依登記名義人之請求,隱匿部分住址資料。但為權利人之管理人及非自然人,不適用之。」。

[7] 行政院,103年12月23日,國家關鍵基礎設施防護指導綱要。

[8] 資通安全管理法草案第2條第1項第6款:「關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,並經行政院公告者。」。

[9] 資通安全管理法草案第2條第1項第7款:「關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,依第十五條第一項規定經中央目的事業主管機關或直轄市、縣(市)政府指定,並報行政院核定之非公務機關。」。

[10]資通安全管理法草案第15條:「中央目的事業主管機關或直轄市、縣(市)政府應指定關鍵基礎設施提供者,並報請行政院核定之。  關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。  關鍵基礎設施提供者應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫實施情形。  中央目的事業主管機關或直轄市、縣(市)政府應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。  關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關或直轄市、縣(市)政府。  第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請行政院核定之。」。

[11] 國家關鍵基礎設施安全防護指導綱要第參點實施對象與目的,「本指導綱要所定義關鍵基礎設施之掌(監)理者包括:行政院及所屬各機關、機構、行政法人、國營事業、地方政府。」。

[12] 國家通訊傳播委員會100年4月6日通傳技字第10043006740號令。

[13] 政府資訊公開法第3條。

[14] 政府資訊公開法第7條第1項第5款:「下列政府資訊,除依第十八條規定限制公開或不予提供者外,應主動公開:…五、施政計畫、業務統計及研究報告。」

[15] 政府資訊公開法第7條第2項:「前項第五款所稱研究報告,指由政府機關編列預算委託專家、學者進行之報告或派赴國外從事考察、進修、研究或實習人員所提出之報告。」

[16] 103年高雄市臨海工業區鄰近區域居民健康風險評估計畫決標資訊,網址:https://web.pcc.gov.tw/tps/main/pms/tps/atm/atmAwardAction.do?newEdit=false&searchMode=common&method=inquiryForPublic&pkAtmMain=51370928&tenderCaseNo=H03066(最後瀏覽日:106年10月29日)

[17] 政府資訊公開法第18條第1項:「政府資訊屬於下列各款情形之一者,應限制公開或不予提供之:一、經依法核定為國家機密或其他法律、法規命令規定應秘密事項或限制、禁止公開者。二、公開或提供有礙犯罪之偵查、追訴、執行或足以妨害刑事被告受公正之裁判或有危害他人生命、身體、自由、財產者。三、政府機關作成意思決定前,內部單位之擬稿或其他準備作業。但對公益有必要者,得公開或提供之。四、政府機關為實施監督、管理、檢(調)查、取締等業務,而取得或製作監督、管理、檢(調)查、取締對象之相關資料,其公開或提供將對實施目的造成困難或妨害者。五、有關專門知識、技能或資格所為之考試、檢定或鑑定等有關資料,其公開或提供將影響其公正效率之執行者。六、公開或提供有侵害個人隱私、職業上秘密或著作權人之公開發表權者。但對公益有必要或為保護人民生命、身體、健康有必要或經當事人同意者,不在此限。七、個人、法人或團體營業上秘密或經營事業有關之資訊,其公開或提供有侵害該個人、法人或團體之權利、競爭地位或其他正當利益者。但對公益有必要或為保護人民生命、身體、健康有必要或經當事人同意者,不在此限。八、為保存文化資產必須特別管理,而公開或提供有滅失或減損其價值之虞者。九、公營事業機構經營之有關資料,其公開或提供將妨害其經營上之正當利益者。但對公益有必要者,得公開或提供之。」

[18] 政府資訊公開法第12條第1項:「政府機關應於受理申請提供政府資訊之日起十五日內,為準駁之決定;必要時,得予延長,延長之期間不得逾十五日。」

[19] 政府資訊公開法第20條:「申請人對於政府機關就其申請提供、更正或補充政府資訊所為之決定不服者,得依法提起行政救濟。」

[20] 要塞堡壘地帶法第4條第1款:「第一區內之禁止及限制事項:一、非受有國防部之特別命令,不得為測量、攝影、描繪、記述及其他關於軍事上之偵察事項。…」。

[21] 民用航空法部分條文修正草案已由交通部陳報行政院審查,本案例所引用草案為106年3月15日交航(一)字第1068100072號公告之版本,網址:http://motclaw.motc.gov.tw/wfrmDownload.aspx?Type=Draft&ID=2586

[22] 民用航空法修正草案第2條第26款。

[23] 民用航空法修正草案第99-10條:「自然人所有之最大起飛重量二百五十公克以上及公務機關或法人所有之遙控無人機應辦理註冊並將註冊號碼標明於遙控無人機上顯著之處。 下列遙控無人機操作人應經測驗合格,發給操作證後,始得操作遙控無人機: 一、操作最大起飛重量二萬五千公克以上之遙控無人機者。二、操作公務機關或法人所有之遙控無人機者。三、操作最大起飛重量一千公克以上而不逾二萬五千公克且裝置導航設備之遙控無人機者。」。

[24] 民用航空法修正草案第99-13條第1項:「禁航區、限航區及航空站或飛行場四周之一定距離範圍內,禁止從事遙控無人機飛航活動;航空站或飛行場四周之一定距離範圍由民航局公告之。」。

[25] 民用航空法修正草案第99-14條第1項:「從事遙控無人機飛航活動應遵守下列規定:一、遙控無人機距地表高度不得逾四百呎。二、不得以遙控無人機投擲或噴灑任何物件。三、不得裝載依第四十三條第三項公告之危險物品。四、依第九十九條之十六所定規則之操作限制。五、不得於人群聚集或露天集會遊行上空活動。六、不得於日落後至日出前之時間飛航。七、在目視範圍內操作,不得以除矯正鏡片外之任何工具延伸飛航作業距離。八、操作人不得在同一時間控制二架以上遙控無人機。九、操作人應隨時監視遙控無人機之飛航及其週遭狀況。十、應防止遙控無人機與其他航空器、建築物或障礙物接近或碰撞。」。

[26] 民用航空法修正草案第99-15條第1項:「操作遙控無人機而致他人死傷,或毀損他人財物時,不論故意或過失,遙控無人機所有人應負賠償責任;其因不可抗力所生之損害,亦應負責。自遙控無人機上落下或投下物品,致生損害時,亦同。」。

自我評量

是非題:(每題十分)

  1. ( ) 小瓜因前科纍纍的哥哥欠錢不還與哥哥發生激烈爭吵,因心生不滿遂從司法院判決書查詢系統找到哥哥過去的判決並張貼在自己的臉書上,公告示人。哥哥知悉後報警處理,認為小瓜侵犯自身個人資料,警察稱判決書為公開資料,不受個人資料保護法保障,故不願受理案件。【資訊保護S10701】
  2. ( ) 民眾如不想其名下不動產之第二類謄本遭房仲濫用,可向選擇向地政機關申請將部分地址隱匿。【資訊保護S10702】
  3. ( ) 電信事業資訊通訊安全管理作業要點要求電信事業建立資通安全之管理標準、等級評估、管理機制、教育訓練、應變通報及實施評鑑,可作為一般組織在進行資通安全管理時之參考。【資訊保護S10703】
  4. ( ) 除法律另有規定外,政府機關委託專家研究之環境影響評估報告書係屬政府應主動公開之資訊。【資訊公開D10704】
  5. ( ) 國防上所必須控制與確保之戰術要點、軍港及軍用飛機場,稱為要塞堡壘地帶,除非有國防部之特別命令,否則不得擅自操作無人機進行攝影。【資訊應用A10705】

選擇題:(每題十分)

  1. ( ) 按個人資料保護法規定,下列何者敘述有誤?(1)格格的iPhone手機通訊錄上傳至雲端備份,此適用個人資料保護法。(2)個人資料僅限於自然人之姓名、出生年月日、國民身份證統一編號、護照號碼、指紋等,得以直接識別該個人之資料。(3)個人資料應於蒐集時之特定目的範圍內利用。(4)阿瑪於聚會時與老同學合影並上傳至臉書,此不適用個人資料保護法。【資訊保護S10701】
  2. ( ) 乖乖向友人抱怨經常因房仲業者利用謄本資料登門叨擾,請問房仲業者是申請以下何種謄本。(1)第一類謄本。(2)第二類謄本。(3)第三類謄本。(4)第四類謄本。【資訊保護S10702】
  3. ( ) 關於「關鍵基礎設施」之說明,下列何者敘述正確?(1)關鍵基礎設施之主部門分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類。(2)關鍵基礎設施提供者對國家安全、社會公共利益、國民生活及經濟活動有重大影響。(3)關鍵基礎設施遭受重大人為危安事件或恐怖攻擊時,應進行通報。(4)以上皆是。【資訊保護S10703】
  4. ( ) 政府機關如有應主動公開之政府資訊卻未公開之情事發生,民眾得申請提供政府資訊。請問在未予延長期間時,政府機關應於民眾提出申請後幾日內為準駁之決定?(1)20日。(2)5日。(3)15日。(4)10日。【資訊公開D10704】
  5. ( ) 關於「民用航空法」修正草案,以下敘述何者錯誤?(1)自然人所有最大起飛重量250公克以上的遙控無人機,使用者必向民航局註冊其無人機。(2)遙控無人機於禁航區、限航區及航空站或飛行場四周之一定距離範圍從事飛航活動,經地方公所許可即可為之。(3)操作公務機關所有之遙控無人機者,應經測驗合格。(4)從事遙控無人機飛航活動者不得以遙控無人機投擲或噴灑任何物件。【資訊應用A10705】

評量解析

是非題:(每題十分)

  1. (O) 小瓜因前科纍纍的哥哥欠錢不還與哥哥發生激烈爭吵,因心生不滿遂從司法院判決書查詢系統找到哥哥過去的判決並張貼在自己的臉書上,公告示人。哥哥知悉後報警處理,認為小瓜侵犯自身個人資料,警察稱判決書為公開資料,不受個人資料保護法保障,故不願受理案件。【資訊保護S10701】

解析:

個人資料法第6條規定有關特種個人資料不得蒐集、處理或利用,與其例外。本題司法院判決書查詢系統之判決書為已合法公開之個人資料,故符合個人資料保護法第6條第1項第3款。

  1. (O) 民眾如不想其名下不動產之第二類謄本遭房仲濫用,可向選擇向地政機關申請將部分地址隱匿。【資訊保護S10702】

解析:

按土地登記規則第24-1條規定略以:「申請提供土地登記及地價資料,其資料分類及內容如下:二、第二類:隱匿登記名義人之出生日期、部分姓名、部分統一編號、債務人及債務額比例、設定義務人及其他依法令規定需隱匿之資料。但限制登記、非自然人之姓名及統一編號,不在此限。前項第二款資料,得依登記名義人之請求,隱匿部分住址資料。但為權利人之管理人及非自然人,不適用之。」,故民眾可向地政機關申請隱匿部分住址資料。

  1. (O) 電信事業資訊通訊安全管理作業要點要求電信事業建立資通安全之管理標準、等級評估、管理機制、教育訓練、應變通報及實施評鑑,可作為一般組織在進行資通安全管理時之參考。【資訊保護S10703】

解析:

按電信事業資訊通訊安全管理作業要點第2點第1項:「為執行電信事業資通安全管理作業,應製作電信事業資通安全管理手冊。本手冊應符合保障通信安全及維護使用者權益之原則。其內容應包含下列各款事項:(一)資通安全管理標準。(二)資通安全等級評估。(三)資通安全管理機制。(四)資通安全教育訓練。(五)資通安全應變通報。(六)資通安全實施評鑑。」,相關要點內容係可作為一般事業之資通安全參考。

  1. (O) 除法律另有規定外,政府機關委託專家研究之環境影響評估報告書係屬政府應主動公開之資訊。【資訊公開D10704】

解析:

按政府資訊公開法第7條規定:「下列政府資訊,除依第十八條規定限制公開或不予提供者外,應主動公開:…五、施政計畫、業務統計及研究報告。…。前項第五款所稱研究報告,指由政府機關編列預算委託專家、學者進行之報告或派赴國外從事考察、進修、研究或實習人員所提出之報告。…」因此,本題之政府機關委託專家研究之環境評估報告書,亦即政府資訊公開法所稱之研究報告,應主動公開,故本題選項為正確。

  1. (O) 國防上所必須控制與確保之戰術要點、軍港及軍用飛機場,稱為要塞堡壘地帶,除非有國防部之特別命令,否則不得擅自操作無人機進行攝影。【資訊應用A10705】

解析:

按要塞堡壘地帶法第4條第1款略以:「第一區內之禁止及限制事項:一、非受有國防部之特別命令,不得為測量、攝影、描繪、記述及其他關於軍事上之偵察事項。…」,故選項為正確。

選擇題:(每題十分)

  1. (2) 按個人資料保護法規定,下列何者敘述有誤?(1)格格的iPhone手機通訊錄上傳至雲端備份,此適用個人資料保護法。(2)個人資料僅限於自然人之姓名、出生年月日、國民身份證統一編號、護照號碼、指紋等,得以直接識別該個人之資料。(3)個人資料應於蒐集時之特定目的範圍內利用。(4)阿瑪於聚會時與老同學合影並上傳至臉書,此不適用個人資料保護法。【資訊保護S10701】

解析:

個人資料保護法第2條略以:「本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」故選項(2)應為得以直接與間接識別該個人資料。

  1. (2) 乖乖向友人抱怨經常因房仲業者利用謄本資料登門叨擾,請問房仲業者是申請以下何種謄本。(1)第一類謄本。(2)第二類謄本。(3)第三類謄本。(4)第四類謄本。【資訊保護S10702】

解析:

按土地登記規則第24-1條第3項規定:「登記名義人或其他依法令得申請者,得申請第一項第一款資料;任何人得申請第一項第二款資料;登記名義人、具有法律上通知義務或權利義務得喪變更關係之利害關係人得申請第一項第三款資料。」故任何人皆得申請第二類謄本。

  1. (4) 關於「關鍵基礎設施」之說明,下列何者敘述正確?(1)關鍵基礎設施之主部門分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類。(2)關鍵基礎設施提供者對國家安全、社會公共利益、國民生活及經濟活動有重大影響。(3)關鍵基礎設施遭受重大人為危安事件或恐怖攻擊時,應進行通報。(4)以上皆是。【資訊保護S10703】

解析:

按行政院訂定之「國家關鍵基礎設施安全防護指導綱要」規定,我國關鍵基礎設施之範圍分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大類別。此對於國家安全、民生需求、經濟活動有重大影響。另,關鍵基礎設施提供者,應負有事件之通報義務,以有效降進行災害發生之控管。

  1. (3) 政府機關如有應主動公開之政府資訊卻未公開之情事發生,民眾得申請提供政府資訊。請問在未予延長期間時,政府機關應於民眾提出申請後幾日內為準駁之決定?(1)20日。(2)5日。(3)15日。(4)10日。【資訊公開D10704】

解析:

按政府資訊公開法第12條規定:「政府機關應於受理申請提供政府資訊之日起十五日內,為準駁之決定;必要時,得予延長,延長之期間不得逾十五日。」故答案為選項(3)。

  1. (2) 關於「民用航空法」修正草案,以下敘述何者錯誤?(1)自然人所有最大起飛重量250公克以上的遙控無人機,使用者必向民航局註冊其無人機。(2)遙控無人機於禁航區、限航區及航空站或飛行場四周之一定距離範圍從事飛航活動,經地方公所許可即可為之。(3)操作公務機關所有之遙控無人機者,應經測驗合格。(4)從事遙控無人機飛航活動者不得以遙控無人機投擲或噴灑任何物件。【資訊應用A10705】

解析:

按民用航空法修正草案第99-10條第1項:「自然人所有之最大起飛重量二百五十公克以上…之遙控無人機應辦理註冊並將註冊號碼標明於遙控無人機上顯著之處」;同法修正草案第99-13條第1項:「禁航區、限航區及航空站或飛行場四周之一定距離範圍內,禁止從事遙控無人機飛航活動;航空站或飛行場四周之一定距離範圍由民航局公告之。」;同法修正草案第99-13條第3項:「公務機關或法人執行業務需在第一項範圍之區域從事遙控無人機飛航活動,應申請民航局會商目的事業主管機關同意後,始得為之。」;同法修正草案第99-14條第1項:「從事遙控無人機飛航活動應遵守下列規定:…。二、不得以遙控無人機投擲或噴灑任何物件。…十、應防止遙控無人機與其他航空器、建築物或障礙物接近或碰撞。」顯見於禁航區、限航區及航空站或飛行場週圍,禁止從事遙控無人機飛航活動,如因執行業務則需民航局會商目的事業主管機關同意後,方可為之。

自我評量檢測成果評分說明

得分

溫馨提醒

100分

資安小博士非您莫屬

80分~90分

小粗心,別灰心

60分~70分

釐清觀念,滿分到手

40分~50分

再接再厲,繼續努力

20分~30分

牛刀小試,再來一次


2018/1/16 14:54:08