壹、前言

　　駭客集團駭進上市櫃公司內部網路竊取資料時有所聞，上市櫃公司因此導致客戶資料外洩事件更是屢見不鮮，從鴻海集團旗下之京鼎精密科技股份有限公司遭駭客入侵官網昭告天下，到近日屬同一集團之「燦坤實業股份有限公司」與「燦星網通股份有限公司」兩家上市公司於民國113年7月23日同時發布資安事件之重大訊息。有鑑於主管機關金融監督管理委員會（下稱金管會）、證券交易所及櫃檯買賣中心近年來對於上市櫃公司資安監理法令迭有更新，惟上市櫃公司常有資安管控非並法律面問題之刻板印象，導致上市櫃公司遇到資安事件無法即時有效反應。為此，本文擬先簡介資訊安全法令架構，進而分析上市櫃公司在資安層面須留意之法律規定供參。

貳、上市櫃公司重要資訊安全法令法規總覽

一、資訊安全控管應與個人資料保護及營業秘密保護通盤規劃

　　與上市櫃公司有關之資訊安全法令，除108年1月1日開始實施資通安全管理法外，尚擴及到個人資料保護法（下稱個資法）第27條第1項規定，對於非公務機關保有個人資料檔案者，應採行「適當之安全措施」；營業秘密法第2條有關所稱營業秘密要件中，營業秘密所有人已採取「合理之保密措施」者，均有要求非公務機關或營業秘密所有人應採行適當安全措施及合理之保密措施。是以，對於上市櫃公司對資訊安全控管之規劃，建議須將個人資料保護安全措施及營業秘密合理保密措施的外部認證一併納入考量。

二、資通安全管理法適用主體
　　
　　資通安全管理法所應適用的主體，依該法第3條第6款至第8款規定：「六、特定非公務機關：指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。七、關鍵基礎設施：指實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，經主管機關定期檢視並公告之領域。八、關鍵基礎設施提供者：指維運或提供關鍵基礎設施之全部或一部，經中央目的事業主管機關指定，並報主管機關核定者。」其中所謂關鍵基礎設施提供者，需經各目的事業主管機關指定，再報該法的主管機關數位發展部核定，常見關鍵基礎設施提供者有各金融機構、三大電信公司，至於公營事業最典型者就是台灣電力公司、政府捐助之財團法人則是如工業研究院。

　　由上可知，各上市櫃公司應先確認本身是否為資通安全管理法之適用主體，若非該法適用主體，相關資通安全管理仍應依「上市上櫃公司資通安全管控指引」之規定辦理，蓋此項指引係為協助上市櫃公司強化資通安全防護及管理機制，並符合「公開發行公司建立內部控制制度處理準則」（下稱內控處理準則）第九條規定，應擬定使用電腦化資訊系統處理者相關控制作業。

參、資安長和資安專責人員之設置

一、上市櫃公司資訊安全適當人力資源配置之推動

　　依照上開內控處理準則第9條之1第1項規定：「公開發行公司應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者，本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長，及設置資訊安全專責單位、主管及人員。」金管會於110年12月28日以金管證審字第11003656544號令針對應配置之適當人力資源，採分階段施行，謹說明如下：
 

（一）符合下列條件之一者，應於民國111年底前指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長，並設置資訊安全專責單位，該單位應配置專責主管及至少2名專責人員，專門負責資訊安全相關工作或職務：1.實收資本額達新臺幣一百億元以上。2.前一年底屬證券交易所公告之臺灣五十指數成分公司。3.最近一年度經由網際網路或其他電子方式媒介從事商品所有權移轉或提供服務之收入占該年度財務報告營業收入達80%以上，或最近二年度經由網際網路或其他電子方式媒介從事商品所有權移轉或提供服務之收入合計占該二年度財務報告營業收入達50%以上。

（二）前款以外之上市（櫃）公司最近三年度之稅前純益未有連續虧損且最近一年度財務報告每股淨值未低於面額者，應於112年底前配置資訊安全專責主管及至少1名資訊安全專責人員。

（三）上市（櫃）公司自112年1月1日之日起符合前點第一款，或自113年1月1日之日起符合前點第二款者，應於符合適用條件起六個月內調整配置適當之資訊安全人力資源。

二、資安長與資安內控制度須經過董事會通過

　　依上開內控處理準則第4條規定：「公開發行公司設置審計委員會者，訂定或修正內部控制制度，應經審計委員會同意，並提董事會決議。」；第5條規定：「公開發行公司之內部控制制度，應訂定明確之內部組織結構、呈報體系，及適當權限與責任，並載明經理人之設置、職稱、委任與解任、職權範圍及薪資報酬政策與制度等事項。」故公開發行公司應依前揭規定於內部控制制度中，明定資訊安全專責單位之功能及職責暨資安長、資安人員之設置；若公司於設置資訊安全單位及人力時有調整內部組織架構之必要，應配合修訂相關內部控制制度並提報董事會通過後實施。

肆、資安事件之資訊揭露

一、資安事件發布重大訊息之標準

　　按上市（櫃）公司重大訊息之查證暨公開處理程序（下稱重訊查證暨公開程序）第4條第1項第26款規定：「二十六、發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事，致有下列情事之一者：（一）造成公司重大損害或影響者。……」，參照證券交易所、櫃檯買賣中心分別於113年5月28日及7月8日在上市（櫃）重大訊息發布應注意事項參考問答集，針對本款重大性說明如下：「公司發生資通安全事件，依前開評估範圍估算之結果，或媒體報導公司發生資通安全事件，可能影響投資人之投資決策，或公司之資通系統、官方網站等，遭駭客攻擊或入侵，致無法營運或正常提供服務，或有個資、內部文件檔案資料外洩之虞等情事，即屬造成公司重大損害或影響，公司即應依第26款發布重大訊息。」果爾，現在上市（櫃）公司只要發現遭駭客攻擊或入侵，不論是否涉及「核心」資訊系統、「機密」文件，都屬於對公司造成重大損害或影響，應發布重大訊息對外揭露，提醒所有上市櫃公司務必留意。若為關係企業之狀況，子公司遭駭客入侵，母公司亦須對此發布重大訊息，例如之前共享汽機車平台iRent爆發個資外洩，由其母公司和泰汽車股份有限公司代為公告，即為適例。

　　次按，依上開重訊查證暨公開程序第11條第1項第9款規定：「九、發生….資通安全事件、遭主管機關處分或其他重大情事致造成公司重大損害或影響，且扣除其依保險契約設算獲賠金額後預估損失超過該公司實收資本額百分之二十或新台幣三億元以上者。股票為無面額或每股面額非新台幣十元者，前開有關實收資本額百分之二十部分改以淨值百分之十計算之。」換言之，上市（櫃）公司之損失經過評估超過實收資本額20%或新台幣3億元以上，須進一步召開重訊記者會，併予敘明。

二、其他重要配套措施

（一）資安事件之重大訊息揭露時間

　　依上開重訊查證暨公開程序第6條規定，上市（櫃）公司遇到資安事件，須於事實發生日起次一營業日交易時間開始二小時，即隔日上午7點前輸入。若有違反，將依該程序第15條規定，處以違約金新台幣3萬至500萬元。

（二）受害企業應在年報、公開說明書揭露
 

　　依公開發行公司年報應行記載事項準則第18條第6款規定：「營運概況應記載下列事項：六、資通安全管理：（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。」此項規定在公司募集發行有價證券公開說明書應行記載事項準則第19條，亦有類似規定，且要求列明範圍係最近二年度及截至公開說明書刊印日止，範圍更廣，謹提請上市（櫃）公司留意。

伍、結語

　　本文主要彙整金管會、證券交易所及櫃檯買賣中心近三年來，強化上市櫃公司資訊安全管理相關機制，包括公司治理面、資訊揭露面之各項措施，其中關於重大資安事件認定之標準，已非由上市、櫃公司自行判斷，而係遭駭客攻擊或入侵，致無法營運或正常提供服務，或有個資、內部文件檔案資料外洩之虞等情事即已該當。正所謂未雨綢繆、防範未然，不論上市櫃公司是否適用資通安全管理法，本文建議都應參照「上市上櫃公司資通安全管控指引」落實各項制度，定期辦理內部及委外廠商之資安稽核，並就發現事項擬訂改善措施，定期追蹤改善情形，若遇到資安事件遭客戶求償，或可以此作為善盡注意義務之佐證，降低被求償之風險。