資安法何時通過：台灣資訊安全法律的演進與影響

資安法何時通過：台灣資訊安全法律的演進與影響

台灣的「資安法」，正式名稱為《個人資料保護法》的相關修正案，以及後續針對國家關鍵基礎設施安全保護的《資通安全管理法》，是台灣資訊安全法律體系的重要基石。 許多民眾或企業在關切「資安法何時通過」時，實際上可能涉及兩個關鍵的時間點和不同的法律層面，這篇文章將為您詳細解析。

一、 確立個人資料保護的里程碑：《個人資料保護法》的演進

雖然一般口語上常提及的「資安法」可能泛指所有與資訊安全相關的法律，但若追溯到最早關於個人資料保護的立法，則必須回溯到《個人資料保護法》（以下簡稱《個資法》）。

1. 《個資法》的首次制定與施行

台灣的《個人資料保護法》最早是在1995年（民國84年）8月11日制定公布，並於1996年（民國85年）4月1日正式施行。當時的立法目的是為了保護個人資料的隱私權，並規範公務機關及非公務機關對個人資料的蒐集、處理及利用行為。

2. 《個資法》的重大修正與影響

隨著資訊科技的快速發展和社會對個人資料保護意識的提升，原有的《個資法》已不足以應對新的挑戰。因此，該法經歷了多次修正，其中影響最深遠的一次是2012年（民國101年）10月26日公布的修正案，並於2013年（民國102年）3月1日施行。這次修正大幅強化了對個人資料的保護，包括：

• 擴大了適用範圍，將更多類型的個人資料納入保護。
• 增強了當事人對於其個人資料的權利，如查詢、閱覽、複製、補充、更正、停止蒐集/處理/利用、刪除等。
• 提高了違法蒐集、處理、利用個人資料的罰則，增加企業及組織的遵法壓力。
• 對於跨境傳輸個人資料的規範也更加嚴謹。

這次修正案被認為是台灣個人資料保護法律發展的關鍵節點，深刻影響了各行各業的資料處理模式。

二、 國家層級的資通安全防護：《資通安全管理法》的誕生

除了個人資料的保護，《資安法》也常被用來指稱專門規範國家層級資通安全的重要法律——《資通安全管理法》。

1. 《資通安全管理法》的通過與施行

《資通安全管理法》的立法進程歷時較長，旨在建立國家整體資通安全的基本架構，並提升關鍵基礎設施的防護能力。該法於2018年（民國107年）5月16日公布，並於2019年（民國108年）1月1日正式施行。

2. 《資通安全管理法》的核心內容與目標

《資通安全管理法》的通過，標誌著台灣在建立國家級資通安全治理體系上邁出了重要一步。其主要目標和內容包括：

• 確立國家資通安全政策與權責劃分： 設立行政院國家資通安全會報，明確各級政府機關及關鍵基礎設施提供者的資安責任。
• 保護關鍵資訊基礎設施： 定義「關鍵資訊基礎設施」並要求其提供者應採取必要的資安措施，以確保國家關鍵服務的穩定運行。
• 建立資安聯防體系： 強化各機關間的資安資訊分享與情資交換，提升整體聯防能力。
• 推動資安人才培育與產業發展： 鼓勵資安相關人才的培育，並促進資安產業的發展。
• 課予資安聯防義務： 要求公務機關及特定領域的非公務機關，應設置資安人員，並定期進行資安演練與風險評估。

這部法律的實施，使得台灣的資安防護從過去較分散的個案管理，走向更具系統性、全面性的國家級戰略。

3. 《資通安全管理法》的修訂與未來展望

隨著資安威脅的演進，《資通安全管理法》亦於2026年（民國112年）4月26日進行了重大修正並公布，強化了對於第三方服務的資安管理責任，並調整了相關罰則，以因應日益複雜的資安挑戰。未來，此法將持續演進，以確保國家關鍵基礎設施和整體資訊環境的安全。

三、 總結：理解“資安法何時通過”的脈絡

因此，當我們問到「資安法何時通過」時，需要釐清指的是哪一部法律：

• 若指的是個人資料保護相關法律，則最核心的《個人資料保護法》是在1995年制定，1996年施行，並在2012年進行重大修正。
• 若指的是國家級資通安全整體架構和關鍵基礎設施保護，則《資通安全管理法》是在2018年通過，2019年施行，並在2026年再次進行重大修正。

這兩部法律各自承擔著不同的重要使命，共同構成了台灣資訊安全法律保障的重要支柱。

為什麼理解《資安法》通過時間點很重要？

了解《資安法》通過的時間點，對於企業、組織及個人都至關重要。這不僅關乎法律遵循的義務，更直接影響到我們如何保護個人資訊、如何預防資安威脅，以及如何確保國家關鍵基礎設施的穩定運作。

不同法律版本的重點：

• 《個資法》： 主要關注個人資料的蒐集、處理、利用，以及對個人隱私權的保護。
• 《資通安全管理法》： 主要關注國家整體資訊安全，包括公務機關、非公務機關（特別是關鍵基礎設施提供者）的資安義務與責任，以及資安事件的通報應變。

這兩部法律的演進，都反映了台灣社會對資訊安全議題日益重視的趨勢。

常見問題（FAQ）

1. 如何確保我的個人資料不受《個資法》侵害？

您可以積極行使《個資法》賦予您的權利，例如：主動向蒐集您個人資料的單位查詢其蒐集目的、處理方式、利用範圍；要求補充、更正或刪除不正確或不必要的個人資料；若發現個人資料遭非法利用，可向相關機關檢舉。同時，對於不明來電或訊息，應保持警惕，不隨意透露個人資訊，並留意網站和應用程式的隱私權政策。

2. 為什麼《資通安全管理法》會特別強調「關鍵資訊基礎設施」？

「關鍵資訊基礎設施」（CIIS）是指對國家安全、經濟發展、公共利益及國民生命財產有重大影響的資訊系統與資通訊服務。這些設施的損壞或失能，可能導致社會秩序大亂、經濟停擺，甚至影響國民生命安全。因此，《資通安全管理法》將其列為重點保護對象，要求提供者必須採取嚴格的資安措施，以確保這些關鍵系統的穩定與安全，維護國家整體韌性。

3. 《資通安全管理法》的修正對一般企業有何影響？

《資通安全管理法》的修正，特別是2026年版的修訂，更加強化了對供應鏈資安的關注，這意味著，即使企業本身不是關鍵基礎設施提供者，但如果為這些設施提供服務的第三方（例如雲端服務供應商、軟體開發商等），其資安措施的不足，也可能連帶影響到被服務的企業。因此，企業需要更加審慎地選擇和管理其資安供應商，確保整個供應鏈的資安防護能力，並可能需要加強與第三方簽訂的合約中關於資安條款的要求。

4. 「資安法」這個詞，究竟指的是哪一部法律？

如前所述，「資安法」是一個較為籠統的說法，在台灣通常可能指以下兩部重要法律中的一部或兩部：

• 《個人資料保護法》： 主要針對個人資料的蒐集、處理、利用，是關於個人隱私保護的法律。
• 《資通安全管理法》： 主要針對國家整體資訊安全、關鍵基礎設施保護、公務機關及特定領域非公務機關的資安義務。

在討論具體議題時，最好能明確指出是針對個人資料保護，還是國家整體資安。