网络安全法的亚洲视角 – 台湾

作者: Jackson Huang Shuai-Sheng,Formosa Transnational
0
251

数据保护和网络安全是亚洲不断发展的监管领域。本期文章将介绍专家对于亚洲地区主要法域新兴法学的看法。

湾的网络安全法律由不同制度中的法律法规组成。虽然《网络安全管理法》于2018年颁布,但它主要确立了对政府机构和特定的非政府机构的网络安全管控机制。其他相关法律法规也很重要,其中包括《刑法典》、《个人数据保护法》和新的《反渗透法》。

刑法典

《刑法典》第36章“计算机犯罪”对网络安全进行了规定。下列行为将受到刑事处罚,包括但不限于监禁和罚款。

cybersecurity
Jackson Huang Shuai-Sheng
Formosa Transnational台北高级合伙人
电话: +886 2 2755 7366
电子邮件: shuai-sheng.huang@taiwanlaw.com

侵入他人的电脑(《刑法典》第358条)。如果某人(i)输入他人的账户名和密码;(ii)破坏计算机的保护措施;或者(iii)利用系统漏洞,无正当理由进入他人的计算机或相关设备,都属于《刑法典》第358条规定的犯罪。“理由”可以包括其他相关人士的授权或者法律要求。

非法处理电子记录或磁记录。非法获取、删除或者修改他人计算机或相关设备中的电子记录或磁记录的行为可能会违反《刑法典》第359条的规定。“电子记录或磁记录”是指“利用电子、磁、光或者其他类似方式进行计算机处理的记录”。

干扰计算机或相关设备的使用。干扰他人使用计算机或相关设备,并对公众或他人造成伤害的,可能会违反《刑法典》第362条的规定。

《刑法典》第36章对于使用计算机程序进行犯罪的行为进行了规定。为了进行上述第358条、第259条和第362条规定的犯罪行为的目的为自己或他人制作计算机程序,可能会违反《刑法典》第363条的规定。

民法典

《民法典》没有关于网络安全侵权民事责任的具体法律法规。不过,如果任何人通过侵入他人电脑或者通过其他方式影响网络安全,造成其他人遭受损失或损害,受损害的人/实体可以要求根据《民法典》第184条(侵权)和其他条款的规定要求赔偿,包括但不限于原则上的第18条(侵犯个人权利)和第195条(名誉侵权),以及其他可能与特定情况相关的条款。

个人数据保护法

为了保护个人数据,《个人数据保护法》规定,政府/非政府机构必须采取适当的安全措施阻止个人数据被盗取、篡改、损坏、销毁或泄露。这些规定与网络安全没有直接关系。但是,个人数据目前是利用互联网进行收集、处理和转移的,因此,安全措施也可能有助于提高网络安全措施的整体有效性。

《个人数据保护法》还规定管理某些行业的中央主管机构可以指定并命令某些非政府机构(私人实体)为了保护个人数据文件建立所谓的安全和维护计划,并制定和实施在业务终止后处理个人数据的准则。

比如,台湾金融监督管理委员会制定了《金融监督管理委员会指定非政府机构保护个人数据文件的安全与维护计划》。根据该等规定,提供电子商务服务的非政府机构必须采取以下信息安全措施,包括:(1)验证身份;(2)隐藏个人数据;(3)确保通过互联网进行加密传输;(4)对某些应用系统的开发、上线和维护程序进行验证和确认;(5)建立和实施个人数据文件和数据库的保护和监管措施;(6)制定防止外部未经授权访问的解决方案;以及(7)制定解决方案并监督非法/异常访问和使用。

网络安全管理法

台湾的《网络安全管理法》于2018年6月6日颁布。除了《刑法典》和《个人数据保护法》之外,《网络安全管理法》主要监管政府或特定非政府机构对网络安全程序的管理,以构建保护国家网络安全的环境。《网络安全管理法》的主管机构是作为台湾最高行政权力机构的行政院。经济部也发布了台湾企业根据《网络安全管理法》建立相关网络安全机制的指导意见。

《网络安全管理法》的适用范围包括政府机构和特定的非政府机构。特定的非政府机构包括国有企业、政府资助的基金会和“基础设施供应商”。

这一点很重要,因为基础设施供应商需要建立符合《网络安全管理法》要求的网络安全保护机制,确保相关的敏感信息会很安全,并且不会被恶意泄露给他人,从而维护安全。

基础设施供应商是指由主管相关行业的中央机构指定的并且报主管机构批准的、维护或提供全部或部分关键基础设施的实体。

关键基础设施包括在能源、水、通信、金融、交通、紧急医疗、政府机构和高科技园区等领域的设施供应商。

一旦供应商被指定为基础设施供应商,它们也需要承担与政府机构相同的义务,建立网络安全保护机制,防止敏感信息通过互联网意外泄露,从而对安全造成不利影响。

根据《网络安全管理法》,政府机构和特定非政府机构的职责分为三个阶段:

(1) 事先规划。《网络安全管理法》要求政府机构或特定非政府机构事先建立“安全和维护计划”以及“报告和反应机制”,以便工作人员据此执行。机构还应当考虑有关业务重要性、保密性和敏感性,有关机构的层级,保留或处理信息的类别、数量和属性,以及有关机构的信息和通信系统的规模和属性的标准,规定网络安全责任等级。

(2) 维护。各机构应当定期向中央主管机构提供报告,主管机构可以根据《网络安全管理法》进行现场尽职调查。如果发生任何影响网络安全的事件,各机构必须向中央主管机构报告并且采取措施控制损失,并按照中央主管机构制定的机制恢复运行。

(3) 事后纠正。在网络安全事件发生后,或者中央主管机构发现有关机构的网络安全控制机制存在缺陷时,有关机构必须采取措施纠正该等缺陷,并提交有关为弥补该等缺陷所采取的措施的报告。各机构必须跟踪有关补救和纠正措施的执行情况和效果,以确保全面纠正有关缺陷。

由于对网络安全的威胁可能来自世界各地,因此《网络安全管理法》还要求政府建立信息共享机制。鼓励政府和非政府机构之间进行信息共享,以加强网络安全网络。

已建立的信息共享机制包括国家信息共享和分析中心(N-ISAC)、国家计算机应急响应小组(N-CERT)以及国家安全运营中心(N-SOC)。

反渗透法

《反渗透法》于2020年1月初生效,该法案禁止受“渗透来源”指示或者资助的人士进行非法竞选、游说活动,或者接受非法政治捐款以及扰乱社会秩序。

起草和通过《反渗透法》的背景是在台湾近期举行地方选举的时候,岛内外人士在互联网上制造所谓的“假新闻”试图影响选举结果。

FORMOSA TRANSNATIONAL ATTORNEYS AT LAW
13/F, 136 Jen Ai Road, Sec. 3, Taipei
电话: +886 2 2755 7366
传真: +886 2 2755 6486
www.taiwanlaw.com