資料外洩嚴重竟關門處理，內政部掩蓋真相

日前傳出，網路流竄兜售我國2018年4月前的戶役政資料，對此，2月底法務部已證實，2300萬筆的個資外洩，不過，當一確定個資外洩時，內政部竟關起門來處理，完全沒意會到總統蔡英文曾說的「資安即國安」，這次，政府面對2300萬戶役政資料外洩的國安危機態度，究竟誰該負責?

根據媒體報導出，這次資料外洩事件中，內政部選擇不承認、不通報，關起門來處理。去年12月底，內政部悄悄修正提供戶政資料的行政命令「各機關申請提供戶籍資料及親等關聯資料辦法」，修法重點包括：1.提供資料不得以光碟或隨身碟等可攜式儲存媒體交換；2.申請資料機關須附上資通安全等級責任A級（最高級）證明文件；3.申請表上須寫明資料使用期限及銷毀期限等。

一位熟知政府運作的資安人士研判，這顯示內政部察覺戶籍資料交換流程存在漏洞。網上兜售的資料，可能是從外部機關或外包廠商洩漏出去。

據了解，全台約有70餘個單位可以介接戶役政系統，這70多個單位，在資安分級上也大不相同。依照法規，內政部列為A級，但是外包開發或維運的相關業者，資安等級卻只有C級。

內政部次長花敬群1月10日在立法院朝野協商的發言，被認為是承認戶役政資料是間接外流，「流失有很多種可能的情況，並不是戶政司的系統。」一位政府官員私下為內政部叫屈，「這件事就像內政部把重要的鑰匙借給別人，過程一切合法，對方把鑰匙弄丟了，難道要回頭責怪內政部嗎？」

事實上，資安是保護機密資料的手段，檢討戶政個資外洩事件的重點，不能只停留在「釐清資料怎麼掉」的層次。更應該嚴肅面對的是，現行的法規制度，能不能妥善保護民眾個資？

答案顯然是否定的。「個資法」第18條規定，保有個資的公務機關，應指定專人維護，防止個資遭竊取、竄改、毀損、滅失或洩漏。但違反這條法律的機關，沒有罰則，只需在查明後以「適當方式」通知當事人。

至於私人部門，中央目的事業主管機關可處2萬元以上、20萬元以下罰鍰。「現行個資法不僅官民分治、罰則過輕，就連公部門之間也沒有一致標準，」萬幼筠形容。

之所以出現銓敘部59萬筆個資外流就通報重大資安事件，內政部外洩2300萬筆卻不通報，就是因為沒有獨立的監督機關，讓各單位自行決定處理方式。

《天下》雜誌訪問資安界、政府，調查2300萬筆個資外洩事件之際，行政院宣示將研議修法提高「非公務機關」違反個資法的罰則，並設立個資保護獨立監督機關。但除了更嚴格要求私部門維護個資，政府各級機關更應該帶頭，修正面對資安與個資外洩事件的心態。

個資保護與資安防護的最核心精神都是：發生事情，要說出來、要通知當事人，才能有效防堵、損害控管。總統蔡英文曾多次強調「資安即國安」，但這次，政府面對2300萬戶役政資料外洩的國安危機態度，顯然是最壞的示範。