网络安全法规之比较:台湾

    作者: 曾更莹、简维克、陈佳菁和黄耀赏,理律法律事务所
    0
    78

    中国大陆

    印度

    印尼

     

    台湾主要政府机构和大公司网站经常面临网络攻击,作为回应,行政院(内阁)刚刚成立一个全新机构——数位发展部,监督并规范网络安全。自8月27日起,数位发展部还将监督数字技术的开发,包括电子商务、电子签名、电子政务、数据治理,等等。

    网络安全法律

    在台湾,《资通安全管理法》是调整网络安全的主要立法。但是,该法仅适用于政府机构和特定非政府机构,包括关键基础设施提供者、国有企业和受政府资助的基金会。

    Tseng Ken-Ying, Lee and Li
    曾更莹
    合伙人
    台北理律法律事务所
    电话:+886 2 2763 8000 ext. 2179
    电子信箱:kenying@leeandli.com

    除适用于金融机构或电信运营商等特定行业部门的具体网络安全要求外,台湾并无普遍适用于所有非政府实体的网络安全要求。

    受该法约束的所有机构必须按照各自的网络安全责任等级,制定、实施网络安全维护计划,并建立网络安全事件报告和响应机制。

    网络安全事件必须在发现后的1个小时内报告,而且根据严重程度,所有损害控制或恢复措施必须在发现后的36至72小时内完成。

    该法进一步授权负责相关行业的中央主管机关颁布针对受其监管的特定非政府机构的网络安全事务监管指引,指引应提及并推荐ISO/IEC 27001国际信息安全管理标准项下的相关要求。

    为加强网络安全保障,行政院还制定了指引,以限制政府机构、公立学校、国有企业和行政法人使用可能危害国家安全的信息通信技术产品。政府机构还必须敦促其所监督的关键基础设施提供者和受政府资助的基金会遵守该等指引。

    根据指引第3、4点,行政院可公布被禁止信息通信技术产品和服务名单,要求相关实体不得采购或使用。

    台湾最近发生了一起涉及电子标识的黑客事件。随后,经济部颁布了营业场所电子标识网络安全指引,禁止电子标识使用中国大陆开发的任何软件,并规定企业经营者不得使用中国大陆制造的电子标识。

    网络犯罪

    不同网络犯罪行为违反不同的台湾法律,主要包括但不限于:

    • Vick Chien, Lee and Li
      简维克
      初级合伙人
      台北理律法律事务所
      电话:+886 2 2763 8000 ext. 2214
      电子信箱:vickchien@leeandli.com

      《刑法》第358至362条禁止某些类型的网络犯罪,如:无正当理由,非法侵入他人计算机和/或相关设备(如钓鱼式攻击);无正当理由,使用计算机程序或其他电磁技术(如阻断服务攻击或恶意软件)干扰他人计算机和/或相关设备;制作专门用于实施上述犯罪行为的计算机程序。

    • 《刑法》其他相关条款为:第210条(伪造罪);第309至313条(妨害名誉及信用罪);第315或318-1条(妨害秘密罪);第339-3条(诈欺罪);第346条(勒索罪);第352条(毁弃损坏财物罪)。
    • 此外,《个人资料保护法》第41、42条规定了对侵犯个人资料违法行为的惩罚;《著作权法》第93、93条意在打击侵犯著作权的行为;《电信法》全面禁止未经授权访问或使用他人电信设施;《通讯保障及监察法》第24条全面禁止非法监测通信的行为。

    如上所列,根据与行为有关的实际事实,对网络安全有不利影响或威胁的任何活动均可视为构成了一项或多项刑事犯罪。

    刑事犯罪适用于台湾境内的行为和/或人,或刑事犯罪后果所在的地点,台湾法院对此有管辖权。

    个人数据保护

    Winona Chen, Lee and Li
    陈佳菁
    初级合伙人
    理律法律事务所
    电话:+886 2 2763 8000 ext. 2328
    电子信箱:winonachen@leeandli.com

    《个人资料保护法》是调整在台湾收集、处理和使用个人数据行为的一般性法律。

    就数据泄露通知而言,《个人资料保护法》第12条规定,如发生个人数据被盗、泄露、篡改事件或其他侵害事件,数据控制者必须在调查事件后,以适当方式通知受影响的数据主体。

    对于数据安全义务,该法第27条第1款规定,数据控制者应实施适当措施以防止个人数据被盗、篡改、损坏、毁损、灭失或泄露。

    《个人资料保护法施行细则》第12条第2款进一步规定了某些技术和组织措施,数据控制者可根据比例原则(即根据所涉及的个人数据的质量和数量)予以采用。

    严格而言,《个人资料保护法》及施行细则均未强制要求数据控制者实施一定的安全措施。是否采用特定安全措施由数据控制者酌情决定。

    然而,按照该法第27条第2款,中央主管机关可指定并要求受其监督的一个或多个行业部门,并要求它们制定个人数据档案安全维护计划。

    2020年起,为了敦促各部委监督受其监管的非政府机构,行政院多次召集和主持了定期协调会议。

    为了确保数据泄露报告和报告期限的一致性,2021年2月3日的一份会议决议明文规定,各部委应修订针对受其监督的特定行业部门的现行法规,要求非政府机构在72小时内使用所规定的报告格式,向中央主管机关报告数据泄露事件。

    2021年8月,行政院进一步制定了实行个人数据保护的合作规范指引,规定各部委应修订针对受其监督的特定行业部门的现行数据保护法规,要求通过IT系统收集、处理或使用个人数据的非政府机构采取更多措施确保信息安全。

    该指引还规定,各部委应定期认真研究是否有必要制定针对受其监督的特定行业部门的新的数据保护法规,而该决定应考虑非政府机构的规模、它们所保留的个人数据的数量或性质、数据泄露对数据主体的潜在影响、跨境数据传输的频率等因素。

    公司治理

    Sam Huang, Lee and Li
    黄耀赏
    资深律师
    理律法律事务所
    电话:+886 2 2763 8000 ext. 2360
    电子信箱: samhuang@leeandli.com

    在台湾,董事向公司承担受信义务,一旦违反该义务将被追究责任。但是,公司未能防止、减轻、管理或响应网络安全事件,并不一定能断定董事违反了受信义务。

    相反,这取决于事件是否已向董事会报告,以及董事会是否必须采取行动。

    另一方面,除金融机构等特定行业部门外,台湾法律并不要求公司任命首席信息安全官(CISO)。

    不过,金融监督管理委员会现在规定,在台湾证券交易所(TWSE)或台北证券柜台买卖中心(TPEx)上市的下列公司应于2022年12月31日前,任命一名CISO负责实施信息安全政策,并应成立由至少一名负责人和两名员工组成的部门,专门负责信息安全事务:实收资本为100亿新台币(3.252亿美元)或以上的公司;上年度终了时TWSE台湾50指数的成分公司;主要从事电子商务的公司。该委员会给予其他TWSE或TPEx上市公司更大的自由空间,规定它们应在2023年12月31日前任命一位CISO,该CISO手下至少有一名员工专门负责信息安全,但最近三年亏损或每股净值低于每股票面价值的公司除外。

    Lee and Li Logo

    LEE AND LI
    8/F No.555, Sec. 4, Zhongxiao E. Rd.
    Taipei – 11072, Taiwan
    电话: +886 2 2763 8000
    电邮: attorneys@leeandli.com

    www.leeandli.com