观策站》后疫情时代,我们的资安保卫战超前部署了吗?(徐惠)
蔡英文总统(左)4日出席「2021台湾资安大会开幕典礼」,与经济部长王美花(右)主持资安大会启动仪式。(郑任南摄)
肆虐全球的新冠肺炎,虽有随着各国施打疫苗后,逐渐趋缓的态势,但疫情依旧严峻,这也使得全球的人口移动数量,并未回到疫情发生前的水准。但也因为如此,疫情意外地加速了全球许多产业的「数位转型」速度。微软执行长纳德拉(Satya Nadella)曾表示,他观察新冠肺炎2个月疫情期间的数位转型变化,大约是一般数位转型2年所达成的成果。
也是受到新冠肺炎肆虐的影响,全球许多公司的员工自去年初开始,就被迫在家工作(work from home)。这使得原本就已部分在欧美施行的工作模式,快速拓展到可以透过远端、线上作业的全体员工;而许多国际型实体会议也被「线上会议」取代。这种「在家工作」、「线上会议」、「云端分享」的新型态工作模式,带来了爆量的数位资讯以及许多资安的疑虑。爆量的数位资讯,更引起了网路骇客的觊觎。根据云端公司Iomart的估算,大规模的网路骇客活动在疫情时代暴增,光是2020年的第一季,就暴增了237个百分点。因此,数位转型后的资安问题,实为后疫情时代各国政府更该关注的问题。
虽然许多先进国家,在疫情发生前,已经订定了与资安有关的相关法案来防止大量的个资成为骇客下手的目标。但各国政府自2020年起,就耗费极大的心力在对抗因病毒所衍生的各种民生、经济问题。因此,面对庞大的骇客攻击量,许多政府似乎显得有点疲于奔命。反观我国,相对于世界各国的疫情来说较不严峻,但「抗疫」成功的成果,似乎让蔡政府冲昏了头,沉浸在「口罩外交」的喜悦,而忽视了资安问题将成为后疫情时代,公共治理的一项重要任务。
去年7月,行政院长苏贞昌在脸书发表影片,大力推广数位身分证的好处,并由内政部公告,将在2021年7月前,启动换发数位身分证的计划。但在尚未制定专法、设立个资保护专责机构的前提下,这个计划遭到民间团体、中研院等多个单位同声反对。今年1月,苏贞昌在各界质疑的声浪中,宣布将暂缓实施换发数位身分证的计划。更令人不解的是,内政部长徐国勇在解释计划暂缓的原因时,除了把骇客增加的因素,归因于美中台关系的改变(而不是因爆量的数位化资讯所带来的),也坦承对于「专法」的主管机关应该是谁「目前没有答案」。在还没有「答案」的情况下,就强推数位身分证的转型,这样的施政,究竟为何?
除此之外,过去一年多以来,各单位因防疫所需而取得了大量的数位资讯。关于这些取得的个资该如何处理,卫福部仅公告「实联制措施指引」,要求「各场域所搜集的民众个人资料,均要指定专人办理并善尽资料保护责任,最多存放28天,之后必须删除或销毁」。但这样的「公告」,没有立法做后盾,暨没有奖励也没有罚则,如何取信于民?试问,这些各单位储存的数位资料,是由谁专责负责,又是透过什么专业技术防堵骇客入侵?资料存放28天后,是否真有被自动删除?而是否又有专责的单位负责监督资料确实被销毁?笔者强烈怀疑许多个资至今很可能还存放于各种单位的「数位垃圾桶」中,而并未彻底被销毁。
笔者并非资安的专家,但笔者与一般大众一样,在疫情期间被搜集了「很多次」的个资。笔者提出后疫情时代的资安问题,乃是希望督促政府相关单位,重视资安问题,不能总是用「大内宣」的方式,做选择性的报导。
当然,换发数位身分证的资安问题,与线上资料保存的资安问题也许不尽相同,但在后疫情时代,我国人民一定会有愈来愈多机会,暴露在被各种单位搜集及整合的数位资料库中,这些都非常容易成为骇客集团攻击的目标,也非常容易被有心人士透过比对,探知他人的偏好与隐私。政府应该赶紧推动与资安相关的立法,并设立专责的机构进行监督。因应疫情所要做的「部署」,还很多呢!