网络安全法规之比较

全世界都在尽力应对四处猖獗的网络攻击，亚洲政策制定者也强化了数据安全措施，企业遵守这些措施至关重要。

中国

印度

印尼

台湾

中国

中国愈发强调其在网络空间和数据方面的主权和主导地位，其网络安全和信息制度正飞速发展，出台了许多相关规则、政策以及配套国家标准。隐私权和安全的基本原则根植于《中华人民共和国宪法》、《中华人民共和国民法典》和《中华人民共和国国家安全法》，并颁布了三大基本法律作为支柱：《中华人民共和国网络安全法》（“《网安法》”），《中华人民共和国数据安全法》（“《数安法》”），《中华人民共和国个人信息保护法》（“《个保法》”）。

三大基本法律的相互作用

在上述三大法律构建的支柱体系之内，《网安法》是网络空间主权的法律基础，确立了网络空间安全的总体法律框架。《数安法》致力于保护所处理的数据的安全，而《个保法》则致力于规范个人信息的处理活动。

《数安法》和《个保法》都明确规定了域外管辖条款，以确保《网安法》保护的基础设施中所处理的数据和个人信息的安全。如果中国境外的任何数据处理活动损害中国的国家安全、公共利益，或损害任何中国公民、组织的合法权益，《数安法》将依法追究其法律责任。同样地，以向中国境内的自然人提供产品或服务为目的处理其个人信息，或分析、评估中国境内个人的行为，即使处理境内自然人个人信息的活动发生在中国境外，仍然需要受到《个保法》的规制。

专门规则

中国企业还应遵守特定行业的专门监管规则和以及各地方层面的数据保护规定。中国的行业监管机构和地方政府正不断完善相关监管规则以试图解决各个行业/领域、以及各个地区的网络安全问题，尤其是在诸如医疗卫生、金融、汽车和互联网信息服务（如算法推荐服务）等重点领域。

网络安全审查

国家互联网信息办公室（“网信办”）近期终于发布了备受瞩目的针对网约车巨头滴滴进行网络安全审查的结果，并据此对其作出了约为80亿人民币的罚款。针对滴滴的网络安全审查早在最新修订的《网络安全审查办法》发布之前就已经启动，而发布后的最新版本于2022年2月15日起正式实施。

自该次修订后，网络安全审查办法的适用范围得以扩张，尤其是明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市的，必须申报网络安全审查。

此外，关键信息基础设施运营者采购网络产品和服务、或网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，也会触发网络安全审查的申报义务。

在前述三种可能触发网络安全审查申报义务的情形之中，网络平台运营者需就其数据处理行为是否可能触发网络安全审查进行自我预判，目前看来，这可能是平台运营者最具挑战的任务。因为在法律笼统的规定下，当前尚缺乏权威的相关客观影响因素的细则用于明确地自我判断是否落入申报义务范围，无法为网络平台运营者提供足够的指导。这似乎意味着，任何涉及处理大量或多种类型数据的网络平台都可能会需要接受网络安全审查。

倘若不想经受相关审查，最安全的方法无非是：

1. 1. 不运营大型网络平台，或者
   2. 运营者主动申请网络安全审查，并确保收到有关部门明确的无需采取进一步行动的通知。否则，可能与中国最大的学术研究数据库——中国知网（CNKI）面临相类似的风险，出于国家安全相关因素，其目前正在接受网络安全审查。

网络安全等级保护

针对信息系统及网络设立的网络安全等级保护（等保）要求，在《网安法》下得到了进一步发展与更新。在网络安全等级保护规范体系内，实际上将等保安全义务的适用范围扩大至几乎所有在中国利用网络经营业务的企业，并对诸如云计算、物联网等新技术设置了专门的安全标准。

在当前的等保制度体系下，网络运营者应当评估其所运营的网络/信息系统的重要程度及可能的相关风险。根据网络/信息系统的性质、重要程度以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，每一个网络/信息系统都会被划定为某一“安全等级”。

“安全等级”从1级至5级，等级越高，网络运营者应当履行的安全保护义务就越严格。定级后，网络运营者需要根据要求向有权公安机关就其运营的网络/信息系统进行备案、测评整改，确保已采取的安全措施达到相应等级所规定的最低安全标准。

数据主权

为保障数据主权，《网安法》对关键信息基础设施运营者施加了数据本地化的原则义务；《数安法》和《个保法》则规定，向外国司法机构或执法机构提供任何存储于中国境内的数据/个人信息，必须事先获得中国相关主管部门的批准。

网信办发布的《数据出境安全评估办法》(“《办法》”)已于2022年9月1日起正式实施。《办法》提供了6个月的过渡期，使数据处理者得以针对《办法》施行前已经开展的数据出境活动进行整改，确保符合《办法》规定的最新要求。在《办法》出台之前，网信办发布了《个人信息出境标准合同规定（征求意见稿）》，与欧盟的标准合同有异曲同工之处；全国信息安全标准化技术委员会(TC260)则发布了《网络安全标准 个人信息跨境处理活动认证技术规范》，其中介绍了对数据跨境处理活动进行认证的基本规范框架。

根据《办法》，由网信办主导的强制性数据出境安全评估将在《办法》规定的适用情形下被触发。

相比之下，安全认证主要是为解决同一跨国企业集团的子公司或关联公司之间频繁的个人信息跨境传输问题而设计的，而大部分数据处理者希望依赖标准合同作为跨境数据转移的主要机制，因其并不取决于获得网信办的事先批准。然而，鉴于《办法》中规定的安全评估的门槛并不高，安全评估可能成为实践中跨境数据传输的普适机制。

数据分类分级

根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或非法获取、非法利用而对国家安全、公共利益或者个人、组织合法权益造成的危害程度，《数安法》提出国家建立数据分类分级管理与保护的总体要求。其中，

国家核心数据是三级数据分级体系中的最高级，受到最严格的保护。预计国家核心数据的目录将由中央政府部门决定。重要数据则位于该分类分级体系的中间层。各地区、各部门将分别确定本地区、本部门以及相关行业/领域的重要数据具体目录，并对列入目录的数据进行重点保护；而各数据处理者将根据目录来确定其是否掌握重要数据，以及所掌握的重要数据的具体范围。然而，截至目前，仅有如下关于重要数据识别的相关规定可供初步参考：关于重要数据识别的国家标准草案《重要数据识别指南》；汽车行业出台了包含重要数据定义的试行规定《汽车数据安全管理若干规定（试行）》；工业和信息化领域出台了相关的法规草案《工业和信息化领域数据安全管理办法（试行）》（征求意见稿），初步提出重要数据的认定标准。有鉴于此，可以预见，在全国范围内确定核心数据和重要数据的识别目录，仍有很长的路要走。

个人信息保护

《个保法》对个人信息的处理活动提出了全方位的保护要求，覆盖了个人信息的全生命周期。其要求个人信息处理者采取适当的组织和技术措施来确保个人信息的安全，并在此基础上，对敏感个人信息的处理则施加了更为严格的保护义务。在处理任何个人信息之前，处理者应当确保自己已经获得了个人信息处理的合法性基础，包括获得个人的同意或确保可适用除同意外的其他多种合法性基础。在进行个人信息的处理活动时，处理者还必须始终遵循合法、正当、必要和诚信的基本原则，遵守法律的相关规定，同时保存相关处理活动等记录以证明自身合规性或以应对潜在的争议或纠纷。

此外，《个保法》授予数据主体与其个人信息相关的综合权利，包括实质权利与程序性权利，例如知情权、决定权、可携权、投诉权等。

执法与处罚

中国的基本法律针对侵害网络安全和个人隐私的行为规定了严峻的刑事、行政和民事责任。例如，根据《个保法》，违法处理个人信息的，履行个人信息保护职责的部门可以采取的措施中包括没收违法所得，处人民币100万元至5000万元、或者上一年度营业额百分之5以下的罚款；同时，对直接负责的主管人员和其他直接责任人员处人民币10万元以上100万元以下罚款。滴滴一案中创造记录的罚款就是一个极致鲜活的实例。2022年9月14日，网信办发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》意见的通知，建议加大对违反《网安法》的处罚力度，使之与《个保法》的罚则相一致。

除了前述监管与执法的动态，各级法院与检察院也更加积极地在个人信息保护相关的民事及刑事案件中发挥作用。

趋势与展望

中国政府坚信，数字经济和数据资产将成为全球竞争格局中的下一个“必争之地”。因此，其将建立、维护和捍卫国家的网络空间主权置于首要地位。

可以合理地预见，在未来3-5年，中国相关法律体系的发展可能呈现如下趋势：

• 以等保2.0的全面实施为核心要求之一的《网安法》将进一步加强，以建立坚实而安全的法律规制与执法基础，承载国家网络空间主权的核心战略和利益；
• 《数安法》所建立的数据分类分级保护基础制度将逐步完善直至最终建成，并在各具体行业、领域、地区得以全面覆盖和实施；
• 《个保法》仍将继续通过更多的司法及执法行动以实现个人信息的本地化，并最终将实现对落入该法规制范围的外国实体的强制执行。

上述中国网络空间安全相关法律的发展趋势，决定了在未来一段时间内，中国将会在行政处罚、司法审查和域外执法工作中投入更多的努力。因此，在中国的跨国公司以及和中国有贸易往来的离岸实体应当密切关注相关法律、行政执法和司法实践的发展情况，通过与当地有执业资格的律师进行咨询、合作，以及时、清晰地了解相关法律要求与发展概况及可能的影响，并在相关业务中做出适当调整，确保自身合规或规避潜在的法律风险。

GLOBAL LAW OFFICE
35 & 36/F Shanghai One ICC, No.999
Middle Huai Hai Road, Xuhui District
Shanghai, 200031, China
电话：+86 21 2310 8288
电子信箱：shanghai@glo.com.cn

www.glo.com.cn

Back to top

印度

有多部立法、规则和针对特定行业的法规调整印度网络安全的法律、监管和制度框架，它们促进了安全标准的维护，定义了网络犯罪，并规定了事件报告制度。

概述

2000年《信息技术法》是适用于网络安全、数据保护和网络犯罪的主要立法。

该法的主要特征如下：

• 以制定法的形式认可并保护电子交易和通信；
• 旨在保障电子数据、信息和记录的安全；
• 旨在阻止未经授权或非法使用计算机系统；以及
• 识别非法侵入、阻断服务攻击、钓鱼式攻击、恶意软件攻击，识别应依法惩处的欺诈和电子盗窃等违法行为。

根据《信息技术法》制定的以下规则和法规调整网络安全的不同方面：

• 

  2013年《信息技术（印度计算机应急响应小组及履行职能职责的方式）规则》（2013规则）规定，计算机应急响应小组（CERT-In）作为行政机构，负责收集、分析和传播网络安全事件信息，并采取应急响应措施。该规则还规定，中介和服务提供者有义务向CERT-In报告网络安全事件。

• 《关于信息安全规范、程序、网络事件预防、响应和报告以实现安全、受信任的互联网的指引》。该指引由CERT-In于2022年发布，加入并修改了2013规则下的现行网络安全事件报告义务。
• 2011年《信息技术（合理安全规范和程序以及敏感个人数据或信息）规则》（SPDI规则）规定，处理、收集、存储或传输敏感个人数据或信息的公司应采取合理的安全规范和程序。
• 《信息技术（2021年中介和数字媒体伦理守则指引）》规定，中介应实施合理的安全规范和程序，以保护计算机资源和信息，并维护安全港保护。指引还要求中介向CERT-In报告网络安全事件。
• 2018年《信息技术（受保护系统的信息安全规范和程序）》规定，部署了受保护系统（定义见《信息技术法》）的公司有义务实施明确的信息安全措施。

其他包含网络安全相关规定的法律有：1860年《印度刑法典》以及2014年《公司（管理和行政）规则》；其中，前者惩处网络空间犯罪（如诽谤、欺骗、胁迫犯罪、淫秽），后者则要求公司确保电子记录和系统的安全，防止未经授权的访问和篡改。印度储备银行、印度保险监管和发展局、电信部、印度证券交易委员会、印度国家卫生局等监管部门和政府机构还发布了针对特定行业的规则，规定了受其监管的实体应遵守的网络安全标准。

印度将关键信息基础设施（CII）定义为，一旦丧失功能或遭到破坏，会危害国家安全、经济、公众健康或安全的任何计算机资源。在印度，CII的安全由国家关键信息基础设施保护中心（NCIIPC）发布的指引来调整。

根据《信息技术法》，政府可宣布影响CII功能的任何计算机资源为受保护系统，对处理受保护系统的公司规定网络安全义务。指定的CII行业包括交通运输、电信、银行和金融、电力、能源和电子政务。在这些行业内，相关主管机关可宣布某些计算机系统为受保护系统。中央电力局等行业监管部门和政府机构，也制定了与网络安全和CII有关的规则及指引。

制度框架

网络安全是一个跨领域的问题，而印度对网络安全又制定了复杂的部委间和部门间制度框架，由多个部委、部门和机构履行关键职能。例如，电子和信息技术部负责与信息技术、电子产品及互联网有关的政策，包括网络法律。该部成立了协调机构CERT-In，负责协调和处理网络事件响应活动。

内政部掌管国内安全，包括网络安全。为此，它在内部成立了网络和信息安全机构，其中包含网络犯罪分部、网络安全分部和监控单位。2018年，为了打击网络犯罪，它还设立了印度网络犯罪协调中心。CII的协调机构NCIIPC向国家安全顾问报告。国家网络安全协调员是负责协调网络安全事务之人，隶属于总理办公室，负责协调联邦各机构。

安全措施

在联邦一级，《信息技术法》规定由处理敏感个人数据的组织承担安全义务。SPDI规则所规定的该等义务要求公司制定管理、技术、操作和物理安全控制措施。SPDI规则还与ISO/IEC国际信息安全管理标准保持一致，要求法人团体每年至少接受一次审计核查，而且在大幅度升级流程和计算机资源时，也应由经政府批准的独立审计师进行审计核查。

行业监管部门和协调机构也规定了安全措施。印度储备银行制定了银行标准，包括建立处理和报告事件的机制、网络危机管理，以及用以持续监测系统和保护客户信息的安排。它还要求银行遵循ISO/IEC 27001和ISO/IEC 27002标准。

一套类似的框架适用于非银行金融公司。印度证券交易委员会规定，证券交易所、存托机构和清算公司应遵循ISO/IEC 27001、ISO/IEC 27002、COBIT 5等标准。

网络事件报告制度

2013规则要求各类组织在合理时间内向CERT-In报告相关事件。该等事件包括，阻断服务攻击、钓鱼式攻击、勒索软件事件、网站篡改攻击以及有针对性的扫描网络或网站。

2022年4月，CERT-In发布新指令，修改了2013规则项下的义务，修改后的义务包括在六个小时内报告网络安全事件的要求，将系统时钟与政府服务器提供的时间同步，在印度维护安全日志，以及存储更多客户信息。2021年IT规则也规定，作为尽职调查义务的一部分，中介机构应将安全漏洞通知CERT-In。

各类针对特定行业的报告义务亦适用。例如，在金融服务业，每家银行必须在发现事件后的2到6小时内进行报告。同样，保险公司必须在发现后的48小时内向保险监管和发展局报告网络安全事件。电信持牌人必须建立设施以监测对其技术设施的入侵、攻击和欺诈，并向电信部报告。

网络犯罪

1860年《印度刑法典》规定的盗窃、欺诈、伪造、诽谤、损害行为等全部传统罪行，也可能发生在网络犯罪中。《信息技术法》惩处当代犯罪，包括篡改、黑客攻击、发布淫秽信息、未经授权访问受保护系统、侵犯秘密和隐私以及发布虚假的数字签名证书等。通过电子邮件发送恐吓信息或诽谤信息、伪造电子记录、网络欺诈、电子邮件欺骗、网络劫持以及滥发电子邮件，也属于可依法惩处的犯罪行为。

未来之路

联邦政府正在通过国家网络安全协调员制定新的国家网络安全战略，目的是消除印度网络安全框架中的某些漏洞，强化印度的网络安全总体立场。

政府还在考虑修订《信息技术法》，以与全球及国内数字和科技环境的进步保持一致。这可能会改变现行网络犯罪、事件报告制度以及安全措施和标准框架。

IKIGAI LAW
New Delhi | Bengaluru
电子信箱：contact@ikigailaw.com

www.ikigailaw.com

Back to top

印尼

印尼有很多政府机构和企业正在考虑一项新兴的、极其现代的科技，即元宇宙。元宇宙的英文是由“meta”（意为“超越”）和“universe”（“宇宙”）组成，有望通过互联网显著推进社会联结，提升虚拟3D体验，无论是在旅游和文化探索中，还是在交互式银行、消费品销售、办公交流、教育和日常生活中。

不过，数字世界和真实世界的这种逐渐趋同特别有争议的一个方面是， 它要求收集生物特征识别数据来识别个人身份，以在此虚拟元宇宙中展示个人的自然属性。但是，由于本身易于受到潜在威胁，获取生物特征识别数据是个敏感问题，而就对个人数据的保护和对网络攻击的防备而言，印尼的监管框架作为有限。

在本文中，笔者讨论了现行框架和期盼已久但最近才由印尼众议院通过的《个人数据保护法》，以及是否需要制定更加具体的生物特征识别数据法规以备元宇宙变革的到来。

元宇宙初现

疫情鼓励很多企业家重新考虑如何更有效地经营企业。毫不奇怪的是，许多企业利用数字会议平台如视频会议、在线研讨会和诸多其他形式的互联网沟通形式，转战线上。不过，尽管有一些明显的好处，与真实世界更加灵活的体验相比，仍然存在被视为略带制约的局限。因此，元宇宙的出现弥合了形而上的差距，回答了上述问题。元宇宙创造了物质世界的副本，在虚拟世界中提供了真实生活体验，当事人无需真身出现，即能通过元宇宙中代表自己的化身更有效地社交，出席会议，并参加活动。

在印尼，和其他地方一样，元宇宙也提供了改善和提振国民经济的很多机会，利益相关方已开始探索这个虚拟世界，以推动经营活动。作为最大的国有银行之一，印尼人民银行签订了开发元宇宙生态系统的谅解备忘录。举例而言，这可能向客户提供使用虚拟银行服务的新体验和机会。与此同时，尽管仍有开发成本，元宇宙企业也可能降低建设实体办公室的成本。

另外，印尼旅游和创意经济部最近也签订了合作计划，以推出“WonderVerse”。WonderVerse是一个向全球推广印尼旅游的元宇宙平台，上面有虚拟空间供本地企业以虚拟方式营销产品。

元宇宙是新兴事物，仍在不断演变，远未成型。开发处于早期阶段，即使竞相创造最优生态系统的科技公司对于成型后的元宇宙是什么样子，也不过只有初步想法。虽然有很多种方式参与虚拟世界，但已发现的一个敏感缺点是访问的单一性，需要提交包括生物特征识别数据在内的很多数据，才能注册用户资料，以确保只有获得授权的当事人才能访问系统。

生物特征识别数据法规

在印尼，稍微涉及生物特征识别数据的最早立法为关于公民身份管理的第23 (2006)号法律，后经2013年第24号法律修改。后者描述了必须予以保护的各类个人数据，如指纹和眼睛虹膜，这两者是不同类型的生物特征识别数据。不过，该法并未明确定义生物特征识别数据，也未对其提供与时俱进的保护。直到最近，印尼都没有制定对生物特征识别数据予以规定的法规，即使经2016年第11号法律修订的关于电子信息和交易的第11 (2008)号法律亦是如此。

最近的《个人数据保护法》是调整个人数据的最重要法律，它给予个人数据更加显著、更加严格、更加协调一致的保护。它将个人数据分为一般数据和特别数据，而生物特征识别数据属于特别个人数据。这种分类法类似于欧盟《通用数据保护条例》将生物特征识别数据归为“敏感数据”的做法。

《个人数据保护法》将生物特征识别数据定义为与个人的身体、生理或行为特征有关，可确定个人唯一性的数据，如面部识别或指纹分析（指纹）数据。它还解释了必须维护和注意的个人独特性和/或特征，包括但不限于指纹记录、视网膜扫描和DNA样本。

网络脆弱性

尽管人们认为，将生物特征识别数据用于身份识别比基于密码的方法更安全，此类数据仍然非常敏感、有着高风险，可能会使得某人的资料和特征受到网络威胁。非法窃取生物特征识别数据有很多方法，无论是通过IT系统发动网络攻击，或者只是访问级别导致的内部威胁，以及许多其他可能性。例如，高分辨率的照片可用来操纵面部识别系统。

《个人数据保护法》第27、28条规定，个人数据控制者仅可以有限且具体的方式处理个人数据，该方式应合法有效且透明。这意味着个人数据的收集必须按处理目的予以限制，并在收集时明确。

处理必须按相关法律法规执行，应使数据主体充分了解将以何种方式处理其个人数据。此外，第34条强调，如果数据处理被视为会对数据主体带来高风险，个人数据控制者还必须评估数据处理对个人数据保护的影响。

根据第58条，政府负责通过成立数据保护机构来依法保护个人数据，该机构将由总统直接任命（并对总统负责）。它将获得的授权包括：制定和规定个人数据保护、监督、行政执法政策和策略，并为非诉讼解决争议提供便利。

简言之，《个人数据保护法》制定了比以往有意义得多的政策。根据该法，公司如果未在数据泄露后的72小时内通知数据主体和相关主管机关，将被处以最高相当于年收益或收入2%的高额罚金，并可能受到其他惩罚。有些人可能会认为，鉴于生物特征识别数据的敏感性，对于大公司而言，2%的罚金并不算高，但是与之前14天通知期相比，现行通知期短得多，企业应该有所预见并做好准备。

展望

元宇宙可能的确是加强印尼数字经济的解决办法之一。但是，如今科技日新月异的同时，预计网络攻击并不会停止。作为元宇宙不可分割的一部分，生物特征识别数据现在是，今后将一直是敏感、有高风险的信息，需要特别注意。《个人数据保护法》被视为对生物特征识别数据制定了更加具体的规定，要求必须按照非常有限的方式严格处理。全世界预计，在今天的商业格局中，对更先进技术的使用将继续发展变化。在此背景下，有意思的是看现行法律法规如何作为看门人，有效地与时俱进而不过时。

尽管《个人信息保护法》要求成立数据保护主管机关，但是该部门是否会完全独立，尚待观察。可能值得考虑的是成立独立的生物特征识别数据监控职能部门，承担最高标准的监督职能，对获取、处理、监督和销毁生物特征识别数据的标准予以监管，防止今后的网络威胁。

最后，同样重要的是，执法者拥有足够的能力（包括先进技术支持），以确保依法调查并惩处破坏个人数据保护的任何行为，形成令人畏惧的强大威慑效应，因为个人数据一旦遭非法泄露，损害几乎无法挽回。

MELLI DARSA & CO
Indonesian member law firm of PwC global network
World Trade Center III
Jl Jenderal Sudirman Kavling 29-31, Kuningan
South Jakarta – 12920, Indonesia
电话：+62 21 521 2901
电子信箱：id_contactus@pwc.com

www.pwc.com/id

Back to top

台湾

台湾主要政府机构和大公司网站经常面临网络攻击，作为回应，行政院（内阁）刚刚成立一个全新机构——数位发展部，监督并规范网络安全。自8月27日起，数位发展部还将监督数字技术的开发，包括电子商务、电子签名、电子政务、数据治理，等等。

网络安全法律

在台湾，《资通安全管理法》是调整网络安全的主要立法。但是，该法仅适用于政府机构和特定非政府机构，包括关键基础设施提供者、国有企业和受政府资助的基金会。

除适用于金融机构或电信运营商等特定行业部门的具体网络安全要求外，台湾并无普遍适用于所有非政府实体的网络安全要求。

受该法约束的所有机构必须按照各自的网络安全责任等级，制定、实施网络安全维护计划，并建立网络安全事件报告和响应机制。

网络安全事件必须在发现后的1个小时内报告，而且根据严重程度，所有损害控制或恢复措施必须在发现后的36至72小时内完成。

该法进一步授权负责相关行业的中央主管机关颁布针对受其监管的特定非政府机构的网络安全事务监管指引，指引应提及并推荐ISO/IEC 27001国际信息安全管理标准项下的相关要求。

为加强网络安全保障，行政院还制定了指引，以限制政府机构、公立学校、国有企业和行政法人使用可能危害国家安全的信息通信技术产品。政府机构还必须敦促其所监督的关键基础设施提供者和受政府资助的基金会遵守该等指引。

根据指引第3、4点，行政院可公布被禁止信息通信技术产品和服务名单，要求相关实体不得采购或使用。

台湾最近发生了一起涉及电子标识的黑客事件。随后，经济部颁布了营业场所电子标识网络安全指引，禁止电子标识使用中国大陆开发的任何软件，并规定企业经营者不得使用中国大陆制造的电子标识。

网络犯罪

不同网络犯罪行为违反不同的台湾法律，主要包括但不限于：

• 

  《刑法》第358至362条禁止某些类型的网络犯罪，如：无正当理由，非法侵入他人计算机和/或相关设备（如钓鱼式攻击）；无正当理由，使用计算机程序或其他电磁技术（如阻断服务攻击或恶意软件）干扰他人计算机和/或相关设备；制作专门用于实施上述犯罪行为的计算机程序。

• 《刑法》其他相关条款为：第210条（伪造罪）；第309至313条（妨害名誉及信用罪）；第315或318-1条（妨害秘密罪）；第339-3条（诈欺罪）；第346条（勒索罪）；第352条（毁弃损坏财物罪）。
• 此外，《个人资料保护法》第41、42条规定了对侵犯个人资料违法行为的惩罚；《著作权法》第93、93条意在打击侵犯著作权的行为；《电信法》全面禁止未经授权访问或使用他人电信设施；《通讯保障及监察法》第24条全面禁止非法监测通信的行为。

如上所列，根据与行为有关的实际事实，对网络安全有不利影响或威胁的任何活动均可视为构成了一项或多项刑事犯罪。

刑事犯罪适用于台湾境内的行为和/或人，或刑事犯罪后果所在的地点，台湾法院对此有管辖权。

个人数据保护

《个人资料保护法》是调整在台湾收集、处理和使用个人数据行为的一般性法律。

就数据泄露通知而言，《个人资料保护法》第12条规定，如发生个人数据被盗、泄露、篡改事件或其他侵害事件，数据控制者必须在调查事件后，以适当方式通知受影响的数据主体。

对于数据安全义务，该法第27条第1款规定，数据控制者应实施适当措施以防止个人数据被盗、篡改、损坏、毁损、灭失或泄露。

《个人资料保护法施行细则》第12条第2款进一步规定了某些技术和组织措施，数据控制者可根据比例原则（即根据所涉及的个人数据的质量和数量）予以采用。

严格而言，《个人资料保护法》及施行细则均未强制要求数据控制者实施一定的安全措施。是否采用特定安全措施由数据控制者酌情决定。

然而，按照该法第27条第2款，中央主管机关可指定并要求受其监督的一个或多个行业部门，并要求它们制定个人数据档案安全维护计划。

2020年起，为了敦促各部委监督受其监管的非政府机构，行政院多次召集和主持了定期协调会议。

为了确保数据泄露报告和报告期限的一致性，2021年2月3日的一份会议决议明文规定，各部委应修订针对受其监督的特定行业部门的现行法规，要求非政府机构在72小时内使用所规定的报告格式，向中央主管机关报告数据泄露事件。

2021年8月，行政院进一步制定了实行个人数据保护的合作规范指引，规定各部委应修订针对受其监督的特定行业部门的现行数据保护法规，要求通过IT系统收集、处理或使用个人数据的非政府机构采取更多措施确保信息安全。

该指引还规定，各部委应定期认真研究是否有必要制定针对受其监督的特定行业部门的新的数据保护法规，而该决定应考虑非政府机构的规模、它们所保留的个人数据的数量或性质、数据泄露对数据主体的潜在影响、跨境数据传输的频率等因素。

公司治理

在台湾，董事向公司承担受信义务，一旦违反该义务将被追究责任。但是，公司未能防止、减轻、管理或响应网络安全事件，并不一定能断定董事违反了受信义务。

相反，这取决于事件是否已向董事会报告，以及董事会是否必须采取行动。

另一方面，除金融机构等特定行业部门外，台湾法律并不要求公司任命首席信息安全官（CISO）。

不过，金融监督管理委员会现在规定，在台湾证券交易所（TWSE）或台北证券柜台买卖中心（TPEx）上市的下列公司应于2022年12月31日前，任命一名CISO负责实施信息安全政策，并应成立由至少一名负责人和两名员工组成的部门，专门负责信息安全事务：实收资本为100亿新台币（3.252亿美元）或以上的公司；上年度终了时TWSE台湾50指数的成分公司；主要从事电子商务的公司。该委员会给予其他TWSE或TPEx上市公司更大的自由空间，规定它们应在2023年12月31日前任命一位CISO，该CISO手下至少有一名员工专门负责信息安全，但最近三年亏损或每股净值低于每股票面价值的公司除外。

LEE AND LI
8/F No.555, Sec. 4, Zhongxiao E. Rd.
Taipei – 11072, Taiwan
电话: +886 2 2763 8000
电子信箱: attorneys@leeandli.com

www.leeandli.com

Back to top