【焦點話題】
日前國內某上市營建公司於證券交易所發布重大訊息，表示內部部分資訊系統遭受駭客網路攻擊，資安團隊於第一時間啟動防禦機制及備援作業，並通報政府執法部門。四日後，該公司之關係企業(為興櫃公司)亦發布重大訊息，表示部分資訊系統遭受駭客網路攻擊；該營建公司發言人聲稱係因二公司之資訊系統共用，屬於同一事件。
某暗網網站針對LockBit 2.0所造成資料外洩之相關資訊，傳有上開上市營建公司的被駭頁面，應可確認LockBit 2.0勒索軟體是該公司資安事件的肇因，據稱外洩141GB的資料，駭客並向公司勒贖8萬美元。(參考資料來源：https://www.ithome.com.tw/news/147592 ; https://www.ithome.com.tw/news/147627)

【重點摘要】
1.    勒索軟體(ransomware)是一種利用加密技術的惡意軟體，而LockBit為一種著名的勒索軟體。加密(encryption)係以加密演算法與金鑰使資料由明文(plaintext)轉換為不可理解之密文(ciphertext)，以保護資訊之機密性。勒索軟體則反其道而行，以未經授權之加密，造成使用者無法存取資料，駭客再藉機向企業或使用者勒索。
2.    駭客入侵公司資訊設備、竊取其中資料，再以勒索軟體加密公司檔案，使公司無法存取被加密的檔案，並導致系統無法運作，喪失或減損其可用性，將可能觸犯刑法第358條之無故入侵電腦罪、第359條之無故取得他人電磁紀錄罪及第360條之干擾他人電腦罪。
3.    面對各種資安威脅，現代企業的資安思維應由「如何防止各種資安事件」進一步到「在資安事件發生時，如何使企業在最短時間內恢復運作」，系統備援及資料備份是最核心的關鍵。公司由於對於系統及資料均有合理的備援、備份，因此在遇到勒索軟體攻擊時，得以迅速回存系統與資料，恢復運作。

【法律分析】
資料儲存容量、處理速度及傳輸頻寬隨著科技發展而急速升高，資料之產量空前驚人，而企業內部的資料質量俱高，往往為駭客所覬覦。駭客先綜合弱點掃描、社交工程、釣魚、水坑式攻擊等手法，探知組織的系統或應用程式漏洞、成員的帳號、密碼等驗證資訊，進而找到入侵的機會，入侵後先不動聲色，在組織內部持續埋伏、擴張，尋找有價值的標的，待尋得後低調傳輸至外部，甚至將組織內部之系統或機密、重要檔案加密，使組織成員無法存取檔案，或使系統根本無法運作。推求其目的，不過是在整個入侵過程，使利益最大化。整個過程，需要大量成員與資源的通力合作。而現代企業規模龐大，客戶及股東眾多，一旦受損，往往影響甚廣，面對駭客集團化且無時無刻的威脅，更應妥善應對。以下從駭客及企業兩個面向，分頭簡析相關法規：
一、    駭客攻擊的相關法規：
《刑法》的妨害電腦使用罪章，大致對於以上的駭客攻擊行為加以規範：
1.    駭客突破電腦的保護措施而入侵，而可能對於電腦內的系統或檔案予取予求，對於以下提到的資安三角(CIA Triad)—機密性、完整性及可用性直接形成威脅，風險大幅提高，因此立法者設計《刑法》第358條入侵電腦或相關設備罪；
2.    企業所擁有的資訊通常具有較高價值，而且多具有秘密性，也就是其價值常取決於其是否能保持不被民眾或競爭對手知悉，此即「機密性」(Confidentiality)。駭客竊取有價值之資訊後，可在黑市(暗網)標售，價高者得，亦可回頭威脅企業，若不給付金額，即公諸於世。本案駭客共取得141GB之資訊，破壞資訊的機密性，可能構成《刑法》第359條無故取得電磁紀錄罪；
3.    本案駭客在竊得企業資訊後，以勒索軟體將儲存在企業的檔案加密，使得企業對於這些檔案「可望而不可即」，檔案加密後，仍然存在於電腦中，但卻無法開啟，除非駭客提供金鑰，否則無從知悉內容與運用。對於企業而言，對於這些資訊的可用性已遭破壞；從被加密的資訊本身而言，也可謂資訊因變更而失其完整性(Integrity)，構成《刑法》第359條無故變更電磁紀錄罪。
4.    本案駭客以勒索軟體加密的對象還包括系統檔案，使電腦等設備難以運作，破壞資訊系統的可用性(Availability)，可謂對於電腦的嚴重干擾(interruption)，構成《刑法》第360條無故干擾電腦罪。
二、    企業因應
承上，勒索軟體對於企業的資訊系統與檔案加密，使得企業對於資訊之可用性受到破壞，嚴重影響企業的運營、信譽及財產權益。因應之道，除對於可能的入侵管道盡力防禦之外，最基本而重要的，是對於此類資安事件發生後，得以迅速恢復運作，也就是營運持續計畫的規劃與執行。若屬《資通安全管理法》之納管對象，其應依該法及其子法之規定進行訂定、修正及實施資通安全維護計畫，並依其資通安全責任等級辦理其應辦事項，若有自行或委外開發資通系統者，亦須進行系統分級，辦理相關控制措施。
而針對本案所提及之勒索軟體之因應，機關為預防資料之滅失所造成之損害，平時妥適進行資料之備份尤為重要，就資料備份之相關規定則可循《資通安全責任等級分級辦法》 ，其中附表十《資通系統防護基準》就營運持續計畫訂有系統防護與控制措施之相關內容，而即使企業尚非資通安全管理法之適用對象，仍值得參考，略述如下：
1.    系統備份：亦即將系統恢復所需資料進行備份，需求分級與控制措施如下：
(1)    普級：分成二部分，其一為訂定系統可容忍資料損失之時間要求，此又稱為「復原點目標」(RPO)；其二則為執行系統源碼與資料備份。
(2)    中級：除普級的所有控制措施外，尚應定期測試備份資訊，以驗證備份媒體之可靠性及資訊之完整性。
(3)    高級：除中級的所有控制措施外，尚應：一、將備份還原，作為營運持續計畫測試之一部分；二、應在與運作系統不同處之獨立設施或防火櫃中，儲存重要資通系統軟體與其他安全相關資訊之備份。
2.    系統備援：中、高級之控制措施如下：
(1)    訂定資通系統從中斷後至重新恢復服務之可容忍時間要求。此即「復原時間目標」(RTO)
(2)    原服務中斷時，於可容忍時間內，由備援設備取代提供服務。

【管理要點】
一、    入侵之防範
本案駭客係先行入侵公司資訊設備，再竊取資料，並以勒索軟體加密公司檔案。至於駭客入侵之手法，雖未公布，不外乎係利用企業員工之資安意識薄弱，以社交工程(social engineering)騙取登入資訊、誘使下載惡意軟體，或是攻擊未及修補之系統或應用程式漏洞。防範之道，為以下兩點：
（一）    提升員工資安意識
就資訊安全防護而言，最脆弱的一環往往在於「人」，尤其是一般使用者，使用資訊設備時常貪圖方便，疏於注意資訊安全，以致使駭客有機可乘，一旦有使用者被突破，資安防護即出現缺口，而可能潰堤，造成企業重大損害。
因此，對於員工定期施以教育訓練，並且不定期舉行社交工程演練，逐步培養員工的資安意識，才能盡量降低「人」的風險。
（二）    即時更新與弱點掃描
現代資訊系統與應用程式動輒以數百萬乃至數千萬行程式碼所構成，內容與功能極其複雜，因此並不存在無漏洞之系統與程式，各廠商也不斷就新發現的漏洞予以修補。而自發現漏洞至修補漏洞，不免出現一定之時間差，遂有「零時差漏洞」(zero-day vulnerability)的出現，駭客搶在修補程式出現前，針對漏洞設計出攻擊程式與手法的情形屢見不鮮。企業應盡量即時更新系統與程式，並定期執行弱點掃描。
二、    持續營運管理
資安防護，向來即無盡善盡美之可能，應同時考量設施的重要性、風險評估，及個別設施特重機密性、完整性或可用性，在預算之內達成妥適管理。本案駭客的手法，係同時攻擊資訊之可用性與機密性，而受害企業分別為上市及興櫃公司，股東眾多，影響層面廣泛，應優先考量企業之持續營運。持續營運管理包括事前的風險評估(Risk Assessment)、營運衝擊分析(Business Impact Analysis)、資料、系統之備份及機房等設備之備援，均屬基礎而重要。

【相關標準】
ISO 27001:2013 (CNS 27001)
➤ A.7.2.2 
(1)    標準內容：組織所有員工及相關之約用人員均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練，並定期更新。
(2)    適用說明：組織應對於所有員工與約用人員定期進行教育訓練，建立資安意識，從「使用者」降低資安風險。
➤ A.12.2.1 
(1)    標準內容：應實作防範惡意軟體之偵測、預防及復原控制措施，並合併適切之使用者認知。
(2)    適用說明：組織應從技術著手，實作惡意軟體之偵測，並且對於使用者不定期實施社交工程測試。
➤ A.12.3.1 
(1)    標準內容：應依議定之備份政策，定期取得資訊、軟體及系統的影像備份複本，並測試之。
(2)    適用說明：組織應依可容忍資料損失之時間需求，定期進行備份，並且對於備份之有效性，進行還原測試。
➤ A.17.1 
(1)    標準內容：資訊安全持續應嵌入組織之營運持續管理系統中。
(2)    適用說明：組織應從營運持續的角度，對於資訊安全進行規劃、實作、查證、審查及評估。因此除對於存取控制、軟體安裝、系統修改等進行偵測、防範之外，應特別重視資安事件發生後之迅速應變、損害控制及資料復原。

【關鍵字】
駭客、勒索軟體、機密性、可用性、持續營運管理、備份、妨害電腦使用罪

【焦點話題】
Log4j為一受到廣泛運用之日誌儲存框架，2021年12月9日，Log4j所隱含之零時差漏洞(zero-day vulnerability)被公開，駭客可利用此漏洞，遠端控制使用Log4j之各類網路設備及服務，資安公司Tenable認為這個漏洞是「十年內最大、最嚴重的單一漏洞」。
負責開發Log4j之Apache軟體基金會迅速在一週內兩次釋出更新版的Log4j，美國資安主管機關CISA也通令聯邦政府各機關在12月24日前完成修復漏洞。但根據資安業者Sonatype統計，截至2022年5月，全球下載、使用Log4j之軟體開發者，仍有33%使用未更新之舊版Log4j，意即大量含有漏洞之舊版Log4j仍被全世界的軟體開發者普遍使用中。(參考資料來源：https://www.ithome.com.tw/tech/150814 ; https://www.sonatype.com/resources/log4j-vulnerability-resource-center)

【重點摘要】
一、    零時差漏洞(zero-day vulnerability)是指尚未出現修補方式的漏洞。軟體開發往往需要多人協力，並且為求效率，必然會利用各種現成的函式庫、套件等，可以說幾乎必然存在可被攻擊的邏輯上弱點，稱為「漏洞」，一旦發現漏洞，開發廠商負有修補漏洞的義務，但是修補漏洞需要一定時間，在修補程式完成前，漏洞存在被攻擊的風險，此時稱為「零時差漏洞」  。
二、    駭客利用零時差漏洞而開發攻擊用之惡意軟體，可能會構成犯罪。若軟體開發者在舊版套件漏洞與修補漏洞之新版套件均已公開多時，卻疏忽而下載、使用舊版套件，因此開發出存在高風險之軟體，如果駭客利用此一漏洞而自遠端執行程式，造成使用者之損害，則軟體開發者對於使用者可能負有相關賠償責任。

【法律分析】
本案例涉及駭客利用零時差漏洞，製作惡意軟體並駭入他人資通系統，其所涉相關法規，可以概分為駭客本身、系統開發者及系統管理者等三個面向觀之，摘列如下：
1.    駭客部分：
駭客如利用舊版Log4j之零時差漏洞，製作具入侵電腦或相關設備功能之電腦程式，作為入侵之用，可能會構成《刑法》第362條製作惡意軟體罪 。續上，駭客如利用舊版Log4j之零時差漏洞，入侵電腦或相關設備，或進而取得、變更或刪除電腦或相關設備的電磁紀錄，或干擾電腦或相關設備，將可能分別構成《刑法》第358條入侵電腦或相關設備罪、第359條無故取得、變更或刪除電腦或相關設備的電磁紀錄罪，與第360條之無故干擾電腦或相關設備罪 。
2.    系統開發者部分：
雖然由於現代軟體的開發過程有眾多成員參與、協作，內容龐雜，原始碼動輒數十萬行，惟仍應儘力防免系統之漏洞。若為《資通安全管理法》納管對象，依該法及其子法之規定，納管對象應依其資通安全責任等級辦理對應之應辦事項(參《資通安全責任等級分級辦法》附表一至八)，而機關具自行或委外開發資通系統者，則需為系統分級並完成相關防護措施(分級辦法附表十資通系統防護基準) ，而資安法及其子法就「系統開發」時應留意相關弱點之規定，可參前述附表十就「系統與服務獲得」構面，系統發展生命週期開發階段之相關控制措施即包含：應注意避免軟體常見漏洞及實作必要控制措施(普級與中級)、執行「源碼掃描」安全檢測(高級)；而於系統發展生命週期測試階段之相關控制措施則包含：執行「弱點掃描」安全檢測(普級與中級)、執行「滲透測試」安全檢測(高級)。此外，舊版Log4j套件之漏洞已屬周知，在漏洞與修補程式或新版套件已公開之後，系統開發者如仍使用舊版套件，致所開發之系統或應用程式因此存有嚴重瑕疵，而使駭客未來可利用此一漏洞，造成系統或應用程式使用者受有損害，視個案情形，該系統開發者可能須負擔民事瑕疵給付等之損害賠償責任。
3.    系統管理者部分：
如上開說明所提，資安法納管對象應依其資安責任等級辦理對應之應辦事項，其中A至C級之機關均應依規定之頻率就其全部核心資通系統辦理弱點掃描、滲透測試等安全性檢測；而具自行或委外開發資通系統者，則應為系統分級並完成防護基準控制措施，而該等控制措施於「系統與資訊完整性」構面之「漏洞修復」及包含：系統之漏洞修復應測試有效性及潛在影響，並定期更新(普級)；定期確認資通系統相關漏洞修復之狀態(中、高級)。

【管理要點】
一、    軟體開發安全
雖說系統漏洞防不勝防，然而許多漏洞，是在設計時注意就可以防堵的，例如知名的SQL注入(SQL injection, 或稱資料隱碼)攻擊，就是由於開發者在設計時的疏忽，對於網頁輸入查詢字串時，未加以篩選，因此當駭客在輸入時故意夾帶SQL指令，直接使SQL資料庫執行，進而逾越權限而讀取、寫入或刪除資料庫內容。因此，近日「設計安全(security by design)」逐漸受到重視，也就是說，在開發軟體時，除軟體本身的功能之外，從設計開始就應該注意安全，「安全」的概念應該貫串各階段，常存開發者的心中，不能等到開發完成後，經由使用者的實作，甚至資安公司或駭客的發掘，才注意到漏洞而進行修補。如果從設計就開始導入安全概念，短期內固然可能增加開發成本，但中長期而言，不必因為修補漏洞而影響到軟體整體架構，而且降低修補的成本，以及增加開發商的信譽，可謂利大於弊。本案例之Log4j舊版套件含有號稱10年來最大漏洞，但是軟體工程師們仍然持續下載、使用舊版套件。企業應妥善建立軟體工程師在軟體開發的資安意識，落實「設計安全」理念，從源頭先行預防漏洞的出現，應可相對降低資安之成本。
二、    軟體使用安全
無論企業或個人，在工作及生活中都會使用大量軟體，一旦軟體之漏洞被發現，在修補以前，就存在被入侵的風險，因此原則上應即時更新軟體，以修補漏洞。企業有時基於系統及應用軟體的相容性問題，一旦更新，可能會造成系統或應用軟體的難以運作，此時應採取其他適當措施，例如對於有漏洞的設備與其他重要設備進行區隔。

【相關標準】
ISO 27001:2013 (CNS 27001)
➤ A.14.2.8 系統安全性測試
(1)    標準內容：於開發中，應實施安全功能性之測試。
(2)    適用說明：組織開發資通系統時，除應注意並避免使用有問題之套件外，亦須進行相關安全測試，以發現是否存有漏洞或無法妥適運行之狀況。
➤ A.12.6.1 技術脆弱性管理
(1)    標準內容：應及時取得關於使用中之資訊系統的技術脆弱性資訊，並應評估組織就此等脆弱性的暴露，且應採取適當措施以因應相關風險。
(2)    適用說明：企業應即時更新修補程式，若企業內部有老舊、存在漏洞之系統，有使用之必要且不便修補，則應與其他重要設備進行區隔，或採取其他適當措施。

【關鍵字】
Log4j、零時差漏洞、軟體開發、駭客、更新、刑法、妨害電腦使用

【焦點話題】
某電視公司員工負責該公司影音網站之程式設計，而該公司之影音資料係儲存於雲端，故該員也知悉該公司登入雲端服務之帳號、通行碼。由於對公司心生不滿，決定報復，在離職前向公司人員表示欲備份在公司筆電內之私人照片，藉機取得該公司登入雲端服務所需之金鑰檔案；再於離職後，利用洋蔥網路瀏覽器(TOR Browser)隱匿真實網路IP位址，以其在職時所取得之帳號、通行碼及金鑰檔案登入前開雲端服務，刪除影音網站內之使用者帳號及主機映像檔，作為報復。上述行為經檢察官查獲、起訴，一審法院判處有期徒刑10月，二審法院因被告事後認罪，並與公司和解，改判有期徒刑6月，入侵所用之電腦、行動硬碟均宣告沒收。(參考資料來源：https://www.cna.com.tw/news/asoc/202205310265.aspx ；https://lawsnote.com/judgement/62a111b78b4ccbb5c05f9bd8?t=2302641684)

【重點摘要】
一、    洋蔥網路或洋蔥路由(TOR, The Onion Router)是美國海軍研究室所開發的網路匿蹤技術，由全球同樣使用TOR的志願者成為隨機的中繼站，由TOR瀏覽器所收發的資訊，不但經過層層加密，而且不會直接送往目的位址，而是隨機經由上開中繼站，輾轉往返於資訊的傳輸者之間，因此得以有效隱匿使用者的IP位址，難以追蹤。
二、    逾越權限取得金鑰、無權限或逾越權限而刪除檔案等，可能涉及刑法第359條之無故破壞電磁紀錄罪 ；利用金鑰與帳號、通行碼而入侵電腦，可能涉及刑法第358條之無故入侵電腦罪 。

【法律分析】
各界所面臨之資安威脅可能來自內部或外部，而內部部分，員工由於在職務上對於資料之儲存、處理、傳輸，以及存取系統、檔案之驗證資訊，所知均遠較外部為豐，因此組織對於內部之監督、稽核，必不可缺；而員工一旦離職，若仍然掌握上開資訊，即易釀災。
以下就前開案例之內容從組織單位自身及其內部人員兩個面向，分別簡析我國相關法規：
一、    離職員工行為的相關法規：
1.    本案離職員工在離職前以備份私人筆電為藉口，趁機逾越權限而取得登入雲端服務之金鑰。金鑰通常以檔案形式呈現，內容為一長串之數字，例如AES 256加密演算法下之金鑰長度為2的256次方。金鑰與其他電腦處理的資料，同屬於法律所稱的「電磁紀錄」，因此員工逾越權限、無正當理由而取得金鑰，可能構成《刑法》第359條無故破壞電磁紀錄罪。
2.    員工離職後，利用上開以不正方法取得、留存之金鑰及帳號、通行碼入侵該電視公司之雲端服務系統，此一部分，可能構成刑法第358條無故輸入他人帳號密碼等認證措施，而入侵他人之電腦或其相關設備者之罪。
3.    本案離職員工入侵電視公司之雲端服務系統，並刪除該系統之使用者帳號與主機映像檔，破壞資訊之完整性，而可能構成《刑法》第359條無故破壞電磁紀錄罪。
二、    組織單位之因應
承上，員工對於組織單位之資訊系統運作、驗證、存取等業務，通常具有比外部更多的知識(know-how)，而一旦離職，其所具備之知識是否形成對於組織單位之資安風險，不得不慎。為防免及因應組織單位之資安風險，組織單位宜對其資通系統、資訊等辦理相關資安防護措施，若為《資通安全管理法》納管對象，依該法之規定，納管對象應為訂定、修正及實施資通安全維護計畫等作為，而有關維護計畫之內容，參該法施行細則之規定即包含「資通安全防護及控制措施」等，該等防護及控制措施則應對應各該機關之資通安全責任等級應辦事項(參《資通安全責任等級分級辦法》附表一至八)，而機關具自行或委外開發資通系統者，則需依循附表九至十之規定，為系統分級並完成相關防護措施；即使組織單位非資通安全管理法之適用對象，相關規定仍值得參考，以下說明前開附表十與存取控制相關之措施：
1.    就「存取控制」構面之帳號管理措施而言，首應建立帳號管理機制，包含帳號之申請、開通、停用及刪除之程序(普級)；資通系統閒置帳號應禁用，並定期審核資通系統帳號之建立、修改、啟用、禁用及刪除(中級)。
2.    就「存取控制」構面之最小權限措施而言，採最小權限原則，僅允許使用者(或代表使用者行為之程序)依機關任務及業務功能，完成指派任務所需之授權存取(中、高級)。

【管理要點】
相當數量之資通安全事件，係來自組織內部。內部人員在職期間，即應設定妥善之存取控制機制，嚴守「最小權限(least privilege)」與「資料最小化(data minimization)」原則，使得相關人員無論在資訊之質或量，均無法存取不應存取的資訊。於其離職前，應要求簽署保密協定，使其知悉保密責任不因離職而免除。其離職時，基於實體安全考量，通行證、磁卡、鑰匙等應當場交回；其次，對於該離職者所知或所有的識別(identity)與鑑別(authenticity)資訊，都應迅速有效處理，例如該離職人員之個人帳號應立刻停用，若有非個人帳號，或該離職人員職務或權限內已知之密碼，均應立刻變更。

【相關標準】
ISO 27001:2013 (CNS 27001)
➤ A.7.3.1 聘用責任之終止或變更
(1)    標準內容：應對員工及約用人員定義、傳達於聘用終止或變更後，資訊安全責任及義務仍保持有效，並執行之。
(2)    適用說明：從保護資訊機密性之觀點，無論員工在職或離職，只要資訊未失去其秘密性，則保密之義務自應存在。因此員工在職或離職前，應透過教育訓練、保密協議或保密義務通知等方式，建立員工之保密認知。
➤ A.9.2.1 使用者註冊及註銷
(1)    標準內容：應實作正式之使用者註冊及註銷過程，俾能指派存取權限。
(2)    適用說明：員工離職時，應立即停用或移除其使用者帳戶，以使其無法透過原有帳戶存取內部資源。
➤ A.9.2.6 存取權限之移除或調整
(1)    標準內容：所有員工及外部使用者對資訊及資訊處理設施之存取權限，一旦其聘用、契約或協議終止時，均應予以移除；或於其聘用、契約或協議變更時均須調整之。
(2)    適用說明：員工離職時，除移除其本人之使用者帳戶外，其在職時尚能利用其他方式(例如本案電視公司對雲端系統之帳號及通行碼)存取資源時，亦應透過變更通行碼，甚至更換金鑰等方式，降低其存取之可能性。

【關鍵字】
離職員工、洋蔥網路、TOR、駭客、刑法、妨害電腦使用、最小權限

【焦點話題】
某電視台因內部缺乏資安專業人士，為防範資安事件之發生，決定請外部廠商建置新的儲存系統。而該廠商竟於未告知電視台之情況下，在系統安裝遠端控制軟體，且未經電視台同意，就執行可能刪除資料之指令，導致將近42萬份新聞影片遭到刪除，無法復原，嗣後僅能自備份磁帶取回約32萬份，再自其他資料庫取回約2萬份，確認共損失8萬4千份新聞影片。電視台第一時間已要求廠商說明，並進行調查，確認資料影響區間及擬定替代方案作業流程，並於董事會進行專案報告，針對廠商疏失造成的損失，也已委請律師研議後續求償。(參考資料來源：https://www.mirrormedia.mg/story/20220314inv003/ ; http://misq.ly.gov.tw/MISQ/docu/MISQ3006/uploadFiles/2022042210/21222601042520061002.pdf)

【重點摘要】
各機關單位對於委外廠商執行受託業務，本應妥適進行相關監督義務。委外廠商未告知機關，更未經機關同意，未進行備份，即執行有風險之指令，以致誤刪大批資料，造成機關損失，且難以回復。廠商與機關締結契約，負有建置系統的義務，在履約過程中，因可歸責於廠商的事由，不能履行契約內容，已屬「給付不能」；本事件之中，不但契約不能履行，而且資料滅失，使得委託機關發生額外之損害，則稱為「加害給付」，依民法第227條第2項等規定，廠商因此對於機關負有加害給付之損害賠償責任。

【法律分析】
隨著資訊科技的日新月異，機關對於資訊科技的需求也與日俱增，然而受限於預算、人員編制等資源，較為缺乏資安人才，機關常有委外的需求。機關對於資訊安全固然應予重視，做好對內部的監督、稽核；然而在委外部分，機關更不能掉以輕心，應盡其監督、稽核之能事，始能確保不致因委外而使資安出現弱點。本案機關(電視台)委託外部廠商建置新的影片儲存系統，惟對於廠商並未嚴格管控，而讓廠商擅自安裝遠端存取軟體，在機關不知情之下即擅自執行可能刪除檔案之指令，造成大量新聞資料影片被刪。以下分別就廠商與機關應負擔之責任為探討：
1.    廠商責任：
廠商對於機關，應依契約內容履行其義務，若有違反，即構成債務不履行，本案廠商非但未依契約履行義務，反而因工程師之疏失，造成機關之重大損害，依民法第224條規定，廠商應與自己之過失，負同一責任 ，是以廠商對於機關應依民法第227條第2項負有損害賠償責任 。賠償之範圍，至少包括三個部分，即契約內容未依約履行之遲延責任、回復刪除檔案約34萬筆所生費用，以及無法尋回之8萬餘筆影片，各筆按其價值計算之金額。廠商工程師與機關之間無直接契約關係，機關得依民法第184條第1項侵權行為之規定，請求工程師負損害賠償責任 ，並得依民法第188條第1項規定，請求廠商負連帶責任 。
2.    機關責任：
此又分為民事與行政二部分：
(1)    民事部分：
若本案之檔案刪除情況，廠商執行業務時，係因機關自身之因素，而使得廠商各項業務均可說明係已事先取得機關之認可，或係基於機關之指示辦理(此等部分亦涉及契約內容之檢視、議定)，就該等損害賠償，廠商於訴訟中提出抗辯並舉證，可能法院會認為機關就損害之發生或擴大與有過失(損害與機關之指示相關)，即認為機關亦可能應負部分責任，因而降低廠商的賠償金額。
(2)    行政部分：
i.    委外部分：
機關(電視台)若屬於《資通安全管理法》的規範對象，依同法第9條規定，委外辦理資通系統之建置、維運或資通服務之提供，應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求，選任適當之受託者，並監督其資通安全維護情形 。同法施行細則第4條就委外業務的注意事項，為更細緻之要求，包括受託者(廠商)之資格、得否複委託等項目  ，而依本案之情況，機關強化對於廠商之受託業務執行情形之檢核
，可能之方式包含定期對廠商稽核或以其他方式確認等，而考量機關委外辦理之內容仍應至少具備與機關同一水準之資通安全防護，故機關應透過契約對委外廠商進行相關要求。假若本案電視台尚非資通安全管理法之適用對象，仍值得參考。
ii.    系統、資料備份：
續前開資安法之相關規定，該法之納管對象應依其資通安全責任等級辦理對應之應辦事項，若有自行或委外開發資通系統者，則需就該系統為分級並完成對應等級之防護基準控制措施，而與備份相關之規範，則可參《資通安全責任等級分級辦法》附表十《資通系統防護基準》營運持續計畫構面所訂「系統備份」普級與中級控制措施：訂定系統可容忍資料損失之時間要求(復原點目標，RPO)、執行系統源碼與資料備份。定期測試備份資訊，以驗證備份媒體之可靠性及資訊之完整性；即使本案電視台尚非資通安全管理法之適用對象，仍值得參考。
iii.    通報義務：
機關(電視台)若屬於《資通安全管理法》的規範對象，知悉資通安全事件及，即負有通報、應變之義務，而應依其身分之不同，遵循該法及其子法《資通安全事件通報及應變辦法》之規定，於規定時間內向各該權責機關進行資通安全事件之通報，並於通報後繼續進行該事件之調查、處理及改善等應變作業 。

【管理要點】
一、    委外之監督：組織對於資通安全的控制，在有委外開發、維護甚至管理資通系統時，應透過委外契約約束廠商，使組織得以對廠商有適切之要求、監督，例如廠商對於組織資訊及系統的存取權限、廠商若自遠端存取組織資訊及系統之准否與權限、廠商有風險之行為(系統修改、設定、資料刪除等)應先經組織同意等，以確保資通安全不因委外而出現弱點。
二、    檔案之刪除與還原：若檔案刪除後，儲存媒體尚未遭覆寫，則有復原檔案之相當可能。惟本案完全沒有從原儲存媒體還原任何檔案，應係儲存媒體已遭覆寫，難以還原，是以電視台與委外廠商相關之事件應變意識應予加強。
三、    備份政策：本案涉及復原點目標(Recovery Point Objective, RPO)，亦即機關所能容忍最大之資料逸失量。例如，若RPO定為三日，表示機關認為最多僅能容忍三日之資料量逸失，因此應每隔三日備份一次。而本次資安事件發生後，備份磁帶僅能回復歷年資料的四分之一，足認該電視台可能約一年甚至一年以上始備份一次，以致最後共失去約五分之一之珍貴資料，是以電視台之備份政策應有檢討改善的空間。
 

【相關標準】
ISO 27001:2013 (CNS 27001)
➤ A.12.3.1 資訊備份
(1)    標準內容：應依議定之備份政策，定期取得資訊、軟體及系統的影像備份複本，並測試之。
(2)    適用說明：組織應依可容忍資料損失之時間需求，定期進行備份，以免資料損失超過組織可容許之數量。
➤ A.15.1.1 供應者關係之資訊安全政策
(1)    標準內容：應與供應者議定並文件化，降低與供應者存取組織資產關聯之風險的資訊安全要求事項。
(2)    適用說明：機關應與廠商在委外契約內即明定對於廠商之資安需求，並降低廠商因存取組織資產所造成的風險。
➤ A.15.1.2 於供應者協議中闡明安全性
(1)    標準內容：應與每個可能存取、處理、儲存或傳達資訊，或提供IT基礎建設組件資訊之供應者，建立及議定所有相關資訊安全要求事項。
(2)    適用說明：機關應與廠商在委外契約內明定對於風險的因應，作為廠商之義務，包括如果有資料逸失風險時，應先行備份。
➤ A.15.2.1 供應者服務之監視及審查
(1)    標準內容：組織應定期監視、審查及稽核供應者服務交付。
(2)    適用說明：機關應對委外廠商有監督機制，以免廠商之不當操作提高資安風險，甚至發生資安事件。

【關鍵字】
委外、備份、復原點目標、RPO

【焦點話題】
原任職於美國某科技公司之張姓工程師下載職務上所接觸到的自駕汽車專案文件，其中包括自駕汽車的電路圖，以及該公司原型車的參考手冊。2018年時，張姓工程師以回家鄉照顧母親，並且將任職於中國大陸地區某電動車公司為由，向公司請辭。該公司透過內控機制察覺異樣，隨即停用張姓工程師對於公司網路的存取權限並展開調查，發現張姓工程師除從公司資料庫下載相關資訊，並從監視影像發現其曾進入公司實驗室移除伺服器與電路板。
根據資料顯示，該公司有高達5,000名員工知悉該公司正在進行自駕車專案，還有2,700名核心員工可接觸該專案資料。該公司面對數量龐大且知悉營業秘密之員工，除簽訂保密條款外，並以內部軟體進行監控，而且對員工施以保密訓練。(參考資料來源：https://www.cnbc.com/2022/08/22/former-apple-employee-xiaolang-zhang-pleads-guilty-.html)

【重點摘要】
員工竊取營業秘密，或取得後進而使用、洩漏者，將可能涉犯營業秘密法第13之1條或第13之2條之罪 。

【法律分析】
本案例張姓工程師違規攜走公司儲存於系統之營業秘密資料等作為，於我國相關法規觀之，可能涉及刑法第三十六章妨害電腦使用罪章、營業秘密法不正取得營業秘密罪等罪責，而本案主要將以涉犯營業秘密保護之相關內容為論述，而於刑法妨害電腦使用罪章規範僅簡要提及，相關詳細論述則可參考本彙編其他案例，合先敘明。
以下就前開案例之內容從組織單位自身及其員工兩個面向，分別簡析我國相關法規：
一、    員工行為的相關法規：
1.    營業秘密法：本案員工在離職前利用工作之便，下載公司自駕車專案的重要文件，並於離職後準備攜往中國大陸地區，於離境前遭逮捕、起訴。此類案件，首先須考量該員是否觸犯營業秘密法之罪，重點在於所設標的是否屬於法律所定義的營業秘密。如前述，必須符合三個要件 ：
(1)    秘密性：營業秘密法定義為「非一般涉及該類資訊之人所知者」。本案例之公司以何種技術研發自駕車，其相關細節與設計圖，即使為自駕車產業相關人士亦無法輕易知悉，否則該員工自無須以身犯險。。
(2)    經濟價值：營業秘密法定義為「因其秘密性而具有實際或潛在之經濟價值者」。本案例之公司發展自駕車之技術資訊，因外界所不知悉而具有經濟價值，應無庸置疑。
(3)    合理保密措施：營業秘密法規定「所有人已採取合理之保密措施者」，亦即營業秘密之所有人應採取保密措施，至於所謂「合理」，最高法院判決指出，是指組織單位依照其人力、財力，依社會所認為可能之方法或技術，將資訊依業務需要分類、分級而由不同之授權職務等級者知悉，除有使人瞭解秘密所有人有將該資訊當成秘密加以保密之意思，客觀上亦有保密之積極作為。本案例之公司對於資訊安全之嚴密監控，包括保密協定、保密訓練、軟體監控及閉路監視器等，足認已有合理之保密措施。
本案張姓工程師以重製之方法竊取營業秘密，可能構成營業秘密法第13之1條第1項第1款之以不正方法取得營業秘密罪，最高刑度為五年有期徒刑 。又張姓工程師意圖在中國大陸地區使用營業秘密而竊取之，則可能構成營業秘密法第13之2條第1項之意圖在境外使用而以不正方法取得營業秘密罪，最高刑度為十年有期徒刑 。
2.    妨害電腦使用罪：刑法第359條係以「無故取得電磁紀錄」為要件 ，固然實務常以有無權限作為「無故」之標準，然而縱使組織單位在技術上確實授與員工存取權限，並不表示員工即可在權限內任意存取資訊，否則「監守自盜」之情形反而不受處罰，此並非法律規範的目的。
二、    組織單位因應之相關法規：
員工若在工作範圍內對於組織單位之機密資訊有存取權限，則組織單位首應依「最小權限」原則，避免員工存取授權範圍外之資訊；其次，對於員工存取之監督、稽核乃屬必要，例如就員工存取之異常現象應予警示。若為《資通安全管理法》納管對象，依該法之規定，納管對象應為訂定、修正及實施資通安全維護計畫等作為，而有關維護計畫之內容，參該法施行細則之規定即包含「資通安全防護及控制措施」等，該等防護及控制措施則應對應各該機關之資通安全責任等級應辦事項(參《資通安全責任等級分級辦法》附表一至八)，而屬具自行或委外開發資通系統者，則需依循附表九至十之規定，為系統分級並完成相關防護措施；即使組織單位非資通安全管理法之適用對象，相關規定仍值得參考，以下說明前開附表十與存取控制、紀錄留存相關之措施 ：
1.    就「存取控制」構面之最小權限措施而言，採最小權限原則，僅允許使用者(或代表使用者行為之程序)依機關任務及業務功能，完成指派任務所需之授權存取(中、高級)。
2.    就「事件日誌與可歸責性」構面之記錄事件措施而言，應確保資通系統有記錄特定事件之功能，並決定應記錄之特定資通系統事件(普級)，並應定期審查機關所保留資通系統產生之日誌(中、高級)。

【管理要點】
一、    資訊安全的三個面向，也就是所謂「資安三角」(cyber security triad)的機密性、完整性及可用性之中，防範機密性之破壞，以及相關事件的應變，與營業秘密保護的關係極為密切。
二、    從預防的角度而言，首應在存取控制上強調最小權限(least privilege)原則。指派妥適的權限給各階層、部門的員工；其次應與員工簽訂保密協議、施以教育訓練，並且對於各項資料標記密等，使員工建立對於保密之認知，知悉何項資料屬於機密，以及了解洩密之後果；此外，諸項防禦措施，包括使用者的識別與鑑別、對於可疑連線的禁止、實體安全等，均屬不可或缺。
三、    從事後應變來看，縱使為世界級之組織單位亦難以百分之百防範一切竊密行為，因此建立完善的監督、稽核機制，極其重要。無論網路、主機或實體之紀錄與留存，均有助於確認侵害營業秘密者的身分，有利於事後對於侵權者的訴追。
四、    從法規遵循而言，營業秘密法中的「合理保密措施」，是法院在個案認定組織被竊取、盜用的資訊，是否屬於法定的「營業秘密」時會審酌的三大要件之一，也是過去實務上認為不符「營業秘密」要件而為不起訴處分或無罪判決的最主要原因。因此，組織可將法院對於「合理保密措施」的具體示例(如資訊、使用者分級、分類、建立使用者對於保密的認知、組織單位對於資訊的存取控制措施等)作為法規遵循之最低門檻。

【相關標準】
ISO 27001:2013 (CNS 27001)
➤A.9.2.2 使用者存取權限之配置
(1)    標準內容：應實作正式之使用者存取權限配置程序，以對所有型式之使用者對所有系統及服務，指派或撤銷存取權限。
(2)    適用說明：組織應使員工僅能存取其工作範圍內之資訊，以免員工存取不必要之資訊，增加外洩的風險。
➤A.12.4.1 事件存錄
(1)    標準內容：應產生、保存並定期審查記錄使用者活動、異常、錯誤及資訊安全事件之事件日誌。
(2)    適用說明：員工存取資訊，即使在權限之內，當然亦應記錄，如果有異常情形，例如：存取時間或方式與平時不同、存取量顯然大於平時等，即屬警訊，應進一步調取其他資訊，確認機密資訊外洩之可能。

【關鍵字】
營業秘密、合理保密措施、著作財產權、刑法、妨害電腦使用、最小權限