資安法律與倫理

踏足資安領域必知的法律規範

資安專業課程

2小時

法律與倫理

課程大綱

01

資安法律基礎概念

了解資安相關法律框架

02

台灣資安相關法規

個資法、資通安全管理法等

03

國際資安法規

GDPR、SOX法案等國際規範

04

資安倫理與職業道德

白帽駭客的行為準則

為什麼資安人員必須了解法律？

保護自己

避免在滲透測試或安全研究中觸法

保護組織

確保企業資安措施符合法規要求

保護他人

尊重他人隱私與資料保護權利

專業素養

建立專業資安人員的信譽與責任

資安法律的範疇

隱私保護法

個人資料保護法
通訊保障及監察法

電腦犯罪法

刑法妨害電腦使用罪
著作權法

個人資料保護法 (個資法)

法律目的

規範個人資料之蒐集、處理及利用，以避免人格權受侵害

個資法罰則與案例

罰則類型

2萬~20萬 - 行政罰鍰

實際案例

某電商平台個資外洩案

• 500萬筆個資外洩
• 罰鍰200萬元

資通安全管理法

立法背景

因應國際資安威脅，強化政府機關及關鍵基礎設施之資通安全防護

刑法妨害電腦使用罪

第358條 - 入侵電腦罪

無故入侵他人電腦或相關設備

3年以下有期徒刑

重要提醒

即使是出於善意的安全測試，未經授權仍可能觸法！

歐盟一般資料保護規則 (GDPR)

GDPR 簡介

歐盟於2018年實施的資料保護法規，影響全球企業

美國資安相關法規

SOX法案

沙賓法案 - 規範上市公司財務報告的內控制度

HIPAA

健康保險可攜性及責任法案 - 保護醫療資訊

滲透測試的法律考量

必要的法律文件

授權書
保密協議

測試範圍界定

明確指定目標系統
排除不可測試的系統

資安研究的倫理準則

善意原則

研究目的應為改善安全

比例原則

研究方法應與預期收益成比例

尊重原則

尊重他人隱私與財產權

透明原則

適當揭露研究發現與風險

漏洞揭露的責任

負責任揭露流程

Day 0: 發現漏洞 → Day 30: 廠商確認 → Day 90: 發布修補 → Day 120: 公開詳情

白帽駭客行為準則

法律遵循

獲得明確授權後才進行測試
遵守當地法律法規

專業操守

保護客戶機密資訊
避免造成系統損害

企業資安合規要求

資料保護

個資法、GDPR合規

網路安全

資安管理法要求

稽核報告

定期安全評估

事件通報

資安事件處理程序

資安事件的法律責任

刑事責任

故意或重大過失導致的資安事件

民事責任

因資安事件造成的損害賠償

跨國資安法律議題

管轄權挑戰

資料跨境傳輸
雲端服務合規

最佳實務

了解各國法律差異
建立全球合規框架

新興技術的法律挑戰

人工智慧

AI決策的責任歸屬
演算法偏見問題

區塊鏈

去中心化系統的管轄權
智能合約的法律效力

實務案例分析

案例一：未授權滲透測試

情況：資安研究員未經授權進行測試

結果：被依妨害電腦使用罪起訴

教訓：未經授權的測試仍可能觸法

案例二：個資外洩事件

情況：企業安全措施不足導致個資外洩

結果：面臨鉅額罰款和民事賠償

教訓：應建立完善的資安防護機制

總結與建議

持續學習

法律環境持續變化，需要不斷更新知識

尋求授權

任何安全測試都必須獲得明確授權

倫理操守

技術能力與道德責任並重

專業諮詢

遇到法律問題時尋求專業協助

結語

資安專業人員不僅要具備技術能力，更要有法律意識和倫理素養。只有在法律框架內進行資安工作，才能真正保護自己、組織和社會。