電腦硬體的破洞
壹、案情概述
張員係某機關主管級人員,常利用值日之便,在該機關調度指揮中心電腦室,使用該單位個人電腦,整埋渠職務上所持有之oo專案整備檢討報告等二十件屬軍事上應保守秘密之文書,及上級指(裁)示事項等十件屬國防以外應秘密之文書,雖明知機密資料禁止儲存於個人電腦硬碟中,為求便利,竟違反「電腦作業人員洩密違規懲處標準表」規定,擅自將未經核准之前述軍事資料及國防以外應秘密之文書,分別儲存於個人電腦資料庫內。整理作業中,因該電腦硬碟磁軌損壞當機,致前揭機密資料鎖存於硬碟中,渠復未依電腦維修規定:「硬碟保修作業…應告知電腦管理人,經系統人員及單位主管鑑核,並清除記憶內容後方可更換」,致數日後由該單位委請廠商前來維修時,經由不知情之維修廠商陳oo,在維修過程中,因恐該硬碟內資料被破壞或銷磁,乃將受損硬碟機之檔案資料先行拷貝至其私人所有攜帶式硬碟機中保存,嗣經陳oo修復後,再將先前保存於其私人攜帶式硬碟機內之檔案轉載錄至修復後之硬碟中繼續使用,卻忘記將其保存於私人硬碟內之文書檔案刪除。陳oo維修完畢,即將自帶之硬碟機攜出返回其公司,並將該載有機密檔案之攜帶武硬碟機裝回公司電腦內,嗣經檢調專案小組因另案持搜索票依法搜索陳oo住處時,在其電腦攜帶式硬碟機內查獲上述機密資料。
貳、觸犯刑章
張員之行為已分別構成妨害軍機治罪條例第二條第四項「過失洩漏職務上持有之軍機」罪及刑法第一百三十二條第二項「公務員因過失洩漏國防以外之秘密」罪。上述二罪因係一行為所犯,依刑法第五十五條前段規定,應從一重依妨害軍機治罪條例第二條第四項「過失洩漏職務上持有之軍機﹂罪論。本案承審法官認為張員係一時疏失觸犯刑章,且洩漏之資料經查均無具體事證足以證明有外洩他人情形,且審酌張員犯罪後已深表悔悟等情狀,乃量處張員有期徒刑一年二月,並依法諭知二年之緩刑,以啟自新。
參、問題提示
一、張員擅自於該管單位公務用電腦硬碟內開設屬於其個人子目錄,作為私人之資料庫,並將前述未經核准之機密資料分別存入,及因末遵守「電腦作業人員洩密違規懲處標準表」等之規定,致生洩密情事。
二、該單位與民間廠商來往未經深入瞭解廠商信譽,亦未訂定相關的規範,安全防護措施有欠落實,安檢要項尚待加強。
肆、研析建議
一、本洩密案之發生肇因於被告應注意能注意卻不注意,故為達到預防與嚇阻之效果,似宜提高「電腦作業人員洩密違規懲處標準表」罰責,藉以警惕承辦業務人員切勿便宜行事。
二、機關單位對於洩密等犯罪行為的處罰仍只限於行政處分,在資訊犯罪充斥的社會中宜彙編電腦犯罪法令章篇,加強對機關員工宣導該等犯罪行為涉及之刑責,而知所警惕。
三、機關應提昇安全防護措施,落實各項安檢要項,攜出機關之電腦器材應經專業人員查驗,以強化值勤人員安全觀念,杜絕依主觀意識做選擇性檢查。
四、各機關在業務上需與民間有業務接觸之單位,應該透過訪商機制,瞭解廠商之公司、成員等背景資料,建立一套有效且確實的評估體系,避免由提出需求之單位自行判斷,藉以防堵有心人士從中滲透。
五、設置資訊管理中心並延攬或培養電腦維修人才,減少對民間廠商的依賴性,降低洩密危機指數。
伍、結語
政府為強化國力並提高行政效率,積極推動電子化政策,電腦已是辦公室公務處理的主體設備,但是資訊科技的發展日新月異,電腦主體及週邊配備不斷變換更新,電腦維修愈趨複雜,非專業維修人員難以勝任,因此各機關雖都設置資訊中心,但維修工作大多委交民間公司辦理,其間需設定流程管制監督系統,嚴密安全防護措施,方能防制盜洩密及破壞事件發生。鑑於公務員大多囿於電腦保護及資訊安全的知能,各單位資訊中心除操作運用之訓練指導外,對同仁更應加強宣導電腦安全使用之注意事項,防範無心之疏忽可能造成之重大危安事故。
本案例顯示張員平日對資訊安全缺乏警覺性,對電腦使用仍停留在單純事務工具之心態,致因便宜行事而觸犯刑章,殊值所有公務員警惕,切記不可洩漏職務上知悉的機密,更要防範因電腦運用疏忽而洩漏職務上所保管的機密文件。