Comparison of China and Taiwan Information Security Policy

1. 兩岸資訊安全法規比較

2. 大綱
● 前言
● 兩岸相關法案比較
● 企業主應如何建置相關措施
● 其它執行應注意事項
● 附錄

3. 前言
大陸地區在2017年4月公布了『中國大陸網路安全法』並在2017年6月生效，而
台灣也在2018年7月公告了『資通安全管理法』其6個子法也在陸續公布實行細
則。
在現今網路發達的時代，企業或多或少都有網路服務，或是和政府機關單位服
務接軌，故兩岸三地的業者必須了解兩法的相關內容，以免誤觸法規而造成商務
上的損失進而影響商譽。
後面章節會針對資安法、個資法和國際會計準則(IFRSs)初步的介紹

4. 兩岸相關法案比較
(只針對重大定義部份做比較)

5. 受資安法管轄之組織
大陸地區 台灣地區
第二條
在中华人民共和国境内建设、运营、维护和使用网
络，以及网络安全的监督管理，适用本法。
第七十六條 第三款
网络运营者，是指网络的所有者、管理者和网络服
务提供者
第六條 第五款
公務機關：指依法行使公權力之中央、地方機關
（構）或公法人 。但不包括軍事機關及情報機關
第六條 第六款
特定非公務機關：指關鍵基礎設施提供者、公營事
業及政府捐助 之財團法人。
簡單而言，有提供網路服務，包含網路設備的組織皆受資安法管控

6. 法規所定義的網路安全(請注意兩岸差異部份)
大陸地區
第二十一至第三十四條皆在定義網路安全服務所
需措施
台灣地區
資通安全管理辦法施行細則第六條有明定相關措
施
實名制
依第二十四條要求實名制
在与用户签订协议或者确认提供服务时，应当要求用
户提供真实身份信息。用户不提供真实身份信息的，
网络运营者不得为其提供相关服务。
目前包含個資法、資通安全管理辦法施行細則並未
要求用戶實名制，但若企業主兩岸資料要互相共用
時就會遇到兩岸法令不一的問題
網路自由
依第四十七條和、第五十條和五十八條，限制較為嚴
格
网络运营者应当加强对其用户发布的信息的管理，发
现法律、行政法规禁止发布或者传输的信息的，应当
立即停止传输该信息，采取消除等处置措施，防止信
息扩散，保存有关记录，并向有关主管部门报告。
『資通安全事件通報及應變辦法草案』
第四條
公務機關知悉資通安全事件（同法第二條）後，應
於一小時內依主管機關指定之方式及對象，進行資
通安全事件之通報。

7. 法規所定義的網路安全(請注意兩岸差異部份)
大陸地區 台灣地區
記錄保留
依第二十一條第三款
采取监测、记录网络运行状态、网络安全事件
的技术措施，并按照规定留存相关的网络日志
不少于六个月。
目前並無法條明確規定保留時間
個人審查
第三十四條
（一）设置专门安全管理机构和安全管理负责
人，并对该负责人和关键岗位的人员进行安全
背景审查。
目前並不需要安全查核，只有在『資通安全管理法施
行細則』第四條
考量受託業務所涉及國家機 密之機密等級、內容，
就受託者辦理該 項受託業務人員及可能接觸該國家
機 密人員有無下列事項，於必要範圍內 進行查核
采購限制
第三十五條
关键信息基础设施的运营者采购网络产品和服
务，可能影响国家安全的，应当通过国家网信
部门会同国务院有关部门组织的国家安全审查
（但未定義什麼服務會影嚮國家安全）。
目前並未對採購服務有所限制（只有針對大陸企業所
提供的服務需做審查）

8. 法規所定義的網路安全(請注意兩岸差異部份)
大陸地區 台灣地區
配合協助
第二十八條
网络运营者应当为公安机关、国家安全机关依
法维护国家安全和侦查犯罪的活动提供技术支
持和协助。
(在此並未定義協助範圍，也就是說官方所要求
的都要提供)
依據『資通安全情資分享辦法』第四條
資通安全情資有下列情形之 一者，不得分享： 一、
涉及個人、法人或團體營業上秘 密或經營事業有關
之資訊，或情 資之公開或提供有侵害公務機 關、個
人、法人或團體之權利或 其他正當利益者...。
並可爰參考美國 Cybersecurity Information Sharing
Act of 2015, SEC104(d)及政府資訊公開法第十八條
第一項第七款等規定，明定不得分享情 資之範疇。

9. 受個資法管轄之組織（大陸地區個資法己納入網路安全法）
大陸地區（網路安全法） 台灣地區（個人資料保護法）
第二十二條
…
网络产品、服务具有收集用户信息功能的，其提供
者应当向用户明示并取得同意；涉及用户个人信息
的，还应当遵守本法和有关法律、行政法规关于个
人信息保护的规定。
第一條
為規範個人資料之蒐集、處理及利用，以避免人格權
受侵害，並促進個人
資料之合理利用，特制定本法。
兩岸目前針對個人資料(个人信息)皆有立專法保護，且企業主應注意不
論在境內或境外中國民國（中華人民共和國）國民皆受個資法保護，
另外歐盟ＧＤＰＲ也已上路，若有歐盟成員個資的也應注意（例如教
師，在大陸境內具有歐盟身份之學生）

10. 法規所定義之個資（个人信息）
大陸地區 台灣地區
第七十六條 第五款
是指以电子或者其他方式记录的能够单独或者与其
他信息结合识别自然人个人身份的各种信息，包括
但不限于自然人的姓名、出生日期、身份证件号码、
个人生物识别信息、住址、电话号码等。
第六條 第五款
指自然人之姓名、出生年月日、國民身分證統一編
號、護照號碼、特徵、指紋、婚姻、家庭、教育、
職業、病歷、醫療、基因、性生活、健康檢查、犯
罪前科、聯絡方式、財務情況、社會活動及其他得
以直接或間接方式識別該個人之資料。
目前兩岸對於個資的定義無太大差異，台灣地區的定義是較為嚴格，
但企業主仍須注意兩岸法規皆有明定只要能識別個人的資訊皆算個資，
故照片（例如大頭照）雖未在個資定義範疇內，但也算做個資，另外
我會建議應將E-Mail與各社群平台之ID也算在個資內

11. 企業主應如何建置相關措施

12. 企業主可依下列建議做好相關法令對應準備
● 資料分級
● 組織建立
● 企業內部規範建立
● 相關軟硬體設備建置

13. 資料分級
不論電子或紙本資料都要分級，另外企業內部所使用軟體也要分級(例如 ERP系
統應算機密級，但Office 就是一般級)
● 一般性資料(企業內部人員皆可修改但)
(其實依照法規很少資料可以分級為一般性)
下午茶訂購...
● 敏感性資料(除保管人外不得修改異動、但企業內部人員可以檢視；需做備份、版本控管和異動記錄)
公司內部營業數據(公司對外財報不算，但需由專門人員[CFO]發佈)、公司內部規範...
● 機密性資料(除保管人外不得修改異動，非業務相關人員不得檢視；另外需做備份、版本控管和異動記錄)
公司營業秘密(例如教材)、個人資料(會員、公司員工)、合約書、系統登入密碼、程式碼、
資料庫資料...

14. 組織建立
依照兩岸相關法令，企業內部應常設下列組織並命定合適人選負責
● 資通安全政策及推動組織
依照現行法令制定企業內部相關辦法，並且在企業內部主管營運會議定期報告(其會議記錄
應留存以供未來主管機關稽查時提供)
● 資安應變通報小組
制定資安事件通報準則、應變計畫、建立通報體系(1~4級通報最終負責人和通報方式)；並
包含對外主管機關之通報(165防詐騙、檢調單位、行政院資安處、公安、網信部門、電信
部門...)
● 內部稽核組織
依據公司資安政策，定期(一年要有一次)對內部業務相關部門稽核，並留存稽核記錄供主管
機會稽查時使用，並要針對缺失部份做好PDCA處置

15. 企業內部規範建立
依照兩岸相關法令，企業內部應建立下列規範並由企業最高負責人核可後實施
● 公司內部資料攜出規定
● 資訊設備使用規定(非公司所發之資訊設備應嚴格規定)
● 軟體使用與採購規定
● 資通風險評估規範(規定企業各項事件之分級與通報)
● 資安通報規範
● 人員教育訓練計畫(針對資安部份，並應將受訓人員清冊和課程內部留存備查)
● 系統委外管理辦法(不只外購軟硬體、包含外部廠商駐點也算)
● 緊急應變計畫(不只資安事件，包含地震、火災等天然災害的應變計畫)
● 機房人員進出規定
● 人員保密協定(由其是資料保管人和會觸碰到機密性和敏感性資料)
● 手持裝置使用規範(手機、數位相機、錄音相關設備都算)

16. 相關軟硬體設備
設備之選擇可依企業之需求而調整
● 防火牆之建置(軟硬體防火牆都可)
● 防毒軟體之建置(Server和PC都要，而且要定期更新病毒碼)
● 企業內部網路監控軟體(包含E-mail 、IM[Line、message]之監控)
這部份請小心，非企業內部最高負責人同意後不能任意調閱資料，否則有觸法之
風險
● 版本控管軟體(防止檔案被任意竄改，並可留存記錄)
● 異地機房建置(如果是機房代管可依業者之建置但需合乎法令)
● 資料攜出限制軟硬體(例如硬體鎖防止USB被使用)
● 弱點掃描軟體(可交由外部資安公司處理)，並產出弱掃報告備查
● 電波干擾設備(這個如果非必要不用採購，但如果負責業務有關國家安全的最好
要)

17. 其它執行應注意事項

18. 企業主在執行資安計畫時有些須注意事項
● 法規
○ 大陸地區相關法令雖己公佈實施，但很多條文都未定義清楚，要隨時注意修正，例如
■ 「資訊相關基礎設施營運業者」
■ 嚴重危害中國國家安全或經濟，具體認定標準
■ 網路安全保障體系
■ 「重要資料」
■ 對國家政治體制、經濟、科技、國防構成安全隱患，或可能損害社會或公共利益
■ 技術和協助範圍
○ 台灣地區除『資通安全管理法』母法己三讀公告外，其六個子法仍在陸續公告

19. 企業主在執行資安計畫時有些須注意事項
● 個資
○ 兩岸皆有業務之台商要小心兩地資料交換的限制，例如台灣總公司之業務人員可否觸碰大陸
境內之會員資料
○ 機房之建置，因為卡在兩岸都有境外資料處理規範，對於是否建置兩地機房或經核可後統一
建置在第三方機房(Cloud Service)要小心選擇
○ 若為集團企業，不同子公司非經當事人同意不能互通資料
○ 若當事者要求刪除資料，不可拒絕，並且要Real Clean Data(要消失在企業電子設備或媒體)，
但若因為備份而保留之資料不在此限（例如每日備份到磁帶之資料）
○ 不得收集和企業用途不符之個資（例如性生活應該絕大部份企業都不需要都不能收集）
○ 所有敏感性電子資料應予加密

20. 企業主在執行資安計畫時有些須注意事項
● 員工權限
○ 每個員工都應設制權和可存取之資料（工讀生因為協助業務人員而幫忙key-in合約，那就要
簽相關保密協定）
○ 資料保管人不可都為同一人(最常見就是保管人都掛董事長或總經理)
○ 員工離職、部門或職務異動相關權限要立及修正(針對離職員工可提前限制其對於資料存取
之限制)
● 資安組織
○ 相關負責人大陸地區有明定要接受安全背景審查
○ 執行者與稽核者不可為同一人
○ 資安組織可為企業虛擬組織(人員為兼任)，但仍需小心法令變動

21. 企業主在執行資安計畫時有些須注意事項
● 預算
○ 要評估未來資料成長而事先編列儲存設備
○ 網路服務設備應要保留安全存量(例如 企業資料存量為100G則就要維持110G的容量；對外
服務Server峰值為100 request/sec則就要可維持110 request/sec 但安全值可調整)
○ 人員資安教育訓練經費若有需求應予編列(最好是經由該國認證之資管顧問公司訓練，因為
大陸地區有時不承認國際認證或有自己的國家認證，這點要小心)
● 安全控管
○ 辦公室實體區隔最好要做(例如業務助理不應該跟資訊人員坐在同一區)
○ 機房進出要記錄，非相關人員不可有進入權限，機房內外應錄影監控(影像要保留一段時間，
影像上應有時間戳記)
○ office 特定區域辦公室鑰匙要專人管控(機房、主管辦公室、財務部門、營業部門)

22. 企業主在執行資安計畫時有些須注意事項
● 安全控管
○ 系統密碼應定期變更，密碼安全等級要合乎水準(長度、大小寫、英數混合)
○ 重要資料要維持雙人同意準則(例如加密過之資料 密文存取人和密碼Key持有人不能為同一
人)
○ 若有自行或外購之軟體必須將線上和測試開發環境做實體區隔
○ 開發人員不能直接存取線上資料包含程式碼
○ 線上資料調閱一定要做記錄
○ 所有資料都應有建立者、建立時間、修改者、修改時間之記錄
○ IM(例如Line)之檔案傳輸服務應予封鎖(業務人員因其和客戶溝通之需求可被討論)
○ 所有外購軟體或從公司外部流入之資料皆要經過弱掃和病毒檢測

23. 附錄

24. 所引用之相關法條
● 『中華民國資通安全管理法』外部連結
● 『中華民國資通安全管理法子法』外部連結
● 『中華民國個人資料保護法』外部連結
● 『中华人民共和国网络安全法』外部連結