微風傳遭駭　企業個資外洩頻傳　唐鳳：研議擴大資安法納管範圍

微風集團傳出內部資料遭駭，數位部長唐鳳今天（2/23）表示，經濟部跟資安院上午行政檢查，後續配合個資法修法，研議資安法修法做配套，各主管機關重新檢視業務特性，可能擴大資安法納管範圍。

唐鳳今天下午出席2023金融科技趨勢論壇「虛擬資產國際監理趨勢」論壇，媒體關注近期企業個資外洩案件頻傳，像是華航、共享汽機車服務iRent、格上租車等，昨天傳出微風集團內部資料遭駭，如何因應與加強。



針對過去企業個資外洩通報機制，只有通報主管機關跟國發會，唐鳳會後受訪指出，目前新機制已經運作，相關事件也要一起通報國發會跟數位部。今天上午百貨的主管機關經濟部商業司跟資安院人員一起做行政調查，數位部也全程參與，相信調查結果很快會出來。



唐鳳表示，百貨事件發生在個資法管轄範圍，個資事件跟資安事件有時會有重疊，像是大量個資外洩的時候。個資法裁罰確實比資安法輕一點，個資法裁罰上限應該有所修正，國發會會統籌相關單位檢討提草案。



在資通安全管理法（資安法）部分，唐鳳表示，主要是稽核的範圍問題，像是華航事件發生後，外界才發現華航沒有被交通部認定為資安法上的關鍵基礎設施，但重要性很高。



唐鳳表示，這部分會搭配個資法修法，相應提出配套，應該要有機制讓各目的事業主管機關重新檢視相關業務，不一定是全部的業務範圍，而是跟大量國民個資相關部分，是否納入資安法管理範圍。



唐鳳強調，相關措施不只事後通報跟調查，事前也進行很多新興的零信任、隱私強化隱碼技術等，把本來對攻擊者有利得「易攻難守」戰場，翻轉成「易守難攻」的情況，強調每次事件都會讓聯防機制更加精進。



媒體詢問個資法裁罰提高有沒有建議方向，唐鳳指出，個資法裡面除了裁罰新台幣20萬元之外，最重可以罰到企業不能搜集處理個資，也就是無法做生意，從20萬元到無法營業的程度，可能外界會期望中間有更多不同程度的級距。