機密維護常識彙編（ 98年３月份）

✻ 公務員利用職務洩漏機密文書

【案例】

甲是某局 局長室的秘書，兼負責新聞連絡工作，平日周旋在眾多的媒體新聞記者間，久而久之，即以消息靈通人士傲示於友人。同時他為了建立私誼或促進工作連繫與方便，也會三不五時對某些特定人士放出一些特別訊息以示權威或是做為公關。連續幾年間，由於報紙總是在政府進行談判或協議前即刊出了我國與非邦交國家間航權談判、航空貨運站民營化等，應屬機密內容之消息，引起調查單位的注意；經追查後，發現甲以 職務上的權力與機會多次竊取影印非其主管的 機密公文攜返 家中留存並 交付予第三人，案經法院以刑法第 132條第 1項 洩漏交付國防以外應祕密之文書罪，判處其有期徒刑 2年。

【研析】

一、依據公務員服務法，公務員對政府機關之機密，無論是否由其主管，均有保密之義務。「不看他人公文、不聽他人談話、不問他人業務」是個人維護公務機密的三原則，除此之外，公務員對公務上持有的機密資料也要注意保密並防止他人竊取，不可稍有怠忽。

二、本案甲取得機密資料的情形有二：（一）是以 秘書職務之機會，於局長室機要人員不注意及疏於警覺之際， 擅自影印各部門陳請局長核閱的機密公文留存。（二）是參加內部機密會議後， 藉機將會議資料帶走，會議承辦人一方面疏忽未將資料註明為機密文件，另方面也認為不宜得罪首長的新聞秘書而輕忽失職。

三、甲身為公務人員，理應奉行公務員保密義務，然而卻為了 私誼及不正當之 誇耀心理，而置國家及社會大眾利益於不顧，以致觸犯了法典，殊值公務人員警惕。

✻ 資安防護是未來安全第一關鍵

日前美國《國防週刊》報導，美國北美防空司令部司令雷諾瓦特指出，美國下任總統可能面臨的新挑戰，其中之一是網際網路的安全威脅。另外，美軍聯參「資訊首席」的指管通資處長陸軍准將勞倫斯說：「美軍可在傳統戰場上輕鬆面對敵人，但是面對虛擬世界的敵人，則是一項嶄新的挑戰。」的確，在現實的社會，美軍擁有全世界最先進的科技與武器，可以在戰場上無懼敵人的威脅。但是，在網路的世界中，恐怖分子可自世界上任何地方、任何環境，並在十億分之一秒內及一天二十四小時的任何時段中發動攻擊，完全超脫了時間與空間、天時與人為的限制因素，而其策動的人力，可能僅僅只有一人，就能癱瘓某一國家的整個國防體系。所以，在如此打破比例原則的新世紀戰爭中，勞倫斯將軍也承認，如果不積極投注於資訊安全防護，就連美國恐也無法打贏全球的反恐戰爭。

　　美軍全球網路作戰聯合任務小組技術主任杭特上校也說：「美軍在全球資訊及網際網路方面的通信能力，基本上非常薄弱，甚至是不堪一擊。」從 911事件中，恐怖分子運用網路探勘（ Internet Mining），就能得到全美的飛機航線與時刻表；另從五角大廈每天有超過五百次以上的網路攻擊觀之，就可看出資訊攻擊是恐怖分子最有利的投資。而美國國防部在 2005年向國會提出的中共軍力報告中也顯示，目前包含中共及北韓等二十多個國家，已經發展出專用的電腦攻擊程式。所以，美軍聯參指管通資系統次長施亞中將（ Robert Shea）說道：「網路是美軍未來發展的重心，如不然，網路防禦能力將是強大美軍的致命弱點。」未來各國如不能重視資安防護問題，將無法在未來戰場上獲得主導權，並喪失戰略之有利態勢，最後恐會被敵人操弄於股掌之中。

　　資訊安全必定是未來戰爭勝負與國人安全的致勝關鍵。全體國人必須體認這種趨勢，隨時要求自己做到：

一、加強充實新知，提升資安防護概念：

　　據統計目前網路上已經超過一百萬個教導製造電腦病毒及訓練成為電腦駭客的網站。而有別於傳統武器的研發與製造，電腦病毒及攻擊程式不需要投入大量資金，也沒有政策限制，所以人人都能隨時隨地發動資安攻擊，而電腦病毒也已超過百萬種。如果不能時時更新資安防護措施，並認識新種的電腦病毒及駭客手法，便可能成為駭客下一個覬覦的對象。

二、培養保密習性，確遵資安政策指導：

　　資訊安全漏洞，有 80％是來自於人為的破壞與疏忽，所以最有效的資安防護政策，還是要個人養成良好的保密習性、貫徹實體隔離政策、不將機密資訊儲存於電腦中、關閉不必要的分享設定、不下載來路不明的軟體，及使用加解密軟體，更重要的是，不要將機密資訊帶離作業區或公務家辦，才能將資安風險降至最低。例如，日前美軍退伍軍人事務部由於員工將不應持有的機敏資訊帶回家，使得美國大筆退伍軍人的個人資料外洩，讓美國數百萬的退伍軍人暴露於危險之中，成為美國史上最重大的資安漏洞，令人不得不深切檢討及採取更充分的資安防護措施。

三、貫徹資安查察，建立網路巡查機制：

　　警政署科技犯罪防制中心主任李相臣在近期的演講中表示：「企業網路定期實施網路巡邏、分析警示與異常網路流量，才能有效控管資料外洩及資訊攻擊的風險。」資訊安全是一項必須拋開空間思維的工作，因為內部人員不一定要在辦公室裡，才會對公司的資訊安全造成破壞，有可能是在家裡，也有可能在公車上或是世界的某個角落，而時間上更是不分晝夜。所以，培養資管人員、設立專職資安人力，是未來企業及犯罪防制的目標；政府各階層也應儘速成立專責的資訊部門，推廣資安教育，專司網路巡查及監控，才能確保資訊能量，適時防堵資訊攻擊。

　　孫子兵法指出：「兵貴勝，不貴久。」現代戰爭形態的重要特色就是講求時效，因此，不只一般企業，甚至國防事業對於資訊科技的需求都將日益增加。近年來「資訊安全」已是世界各國演習及全民保防教育的重點，各國對於軍人乃至國民的資安要求也往往立法規束，因為在未來戰場上，資訊攻擊除了會造成社會動亂之外，如果建置有 C4ISR系統（即軍事指揮系統之統合，包括指揮、管制、通信、資訊、情報、監視及偵查），敵軍可以使用電磁脈衝武器，破壞對方整個作戰系統，另外也可以發動網路病毒癱瘓對方指揮與通訊系統，降低其聯合作戰的武力，阻礙其後勤支援體系，分化其國家與社會精神戰力的凝聚，最後入主對方之中央指揮體系，不費吹灰之力，解除其國防武力，瓦解其國家安全。

　　總而言之，再完善的資安規定，若國人不能建立資訊保密之安全共識，並提高保防警覺，縱使有再高階的防火牆、防毒軟體及複雜的鎖鑰，都抵不住人員的一個小失誤與蓄意洩漏。唯有大家依據國家資通機構的安全政策指導，安裝各項資安軟體與養成保密設定的習性，並嚴加保守個人的帳號與密碼，且不定時更新，才能由內而外地強化資訊安全的維護，鞏固國家整體安全。 （本資料摘自於清流月刊）

✻ 恪遵保密規範，嚴防駭客入侵

在科技一日千里的今天，養成良好的資訊保密習慣，已是每個人的基本素養。其實不論是在服務單位或居家生活時，良好的電腦使用習慣，都可以使你省下許多的麻煩。近年來，政府部門及民間機構遭網路駭客攻擊事件層出不窮，經查證多屬中共網軍所為。從日前媒體披露的網路洩密事件可看出，我方面臨來自中共總數超過三萬名網軍所採取的資訊攻擊威脅，正與日俱增。

　　根據國家資通安全應變中心資料顯示，目前各方駭客入侵政府網站及民間企業的次數有增無減，每月多則近百次，少則二、三十次，以植入木馬程式企圖竊取資料居多，其中不乏有計畫、有目標地攻擊及演練行動，且與中共脫離不了關係。顯見中共正持續不斷強化其資訊作戰能力，透過無孔不入的網路駭客對我造成莫大的威脅。

　　前陣子國軍某軍官因「公務家辦」導致洩漏演習的機密，究其原因係未遵守國軍的資安保密規定，且個人使用電腦習慣不良，才導致家中電腦被植入木馬程式而洩密。目前共軍對我之網路攻擊活動持續增加，其目的不外乎藉由各種手段竊取我方機敏情資；而部分國人常因輕忽資安保密的重要性而被網軍竊密得逞。因此，國人應將落實資安保密的觀念深植於內心深處，使每位國民都能在下意識中自然而然地做到資安保密，如此方能有效防止中共的網路入侵。

　　面對中共無所不用其極的手段，我們唯有牢記「患常起於所忽，禍多伏於忽微」的道理，並體認保密防諜是一場早已開打、沒有砲聲的戰爭，隨時落實「人人保密、處處防諜」的準則，才能有效遏阻敵人對我之情蒐和竊密。

（ 本資料摘自於清流月刊）

✻公事家辦無人問，一旦洩 密天下知

事實經過：

某政府機關簡任主管 ○○○習慣將經手（包含屬下陳核及其他課室會辦）公文之電子檔拷貝留存備用，並經常以隨身碟再將其拷貝至家中電腦硬碟儲存運用。孰料，其家用電腦早遭駭客植入後門程式而不自知，以致長期大量經手之機密文書陸續外洩，直至我國情治單位查獲上情且依法偵辦時，其方知事態嚴重卻為時已晚，事發後某民意代表召開記者會對其所屬機關嚴詞抨擊，經各媒體大幅報導，損害政府機關形象。

案情研析：

近年資訊安全漸獲各政府機關之重視，相繼購置更新資訊系統之防火牆及防毒軟體等設備，並加強實施各項資訊稽核、宣導及訓練，因此各機關資訊系統之防護能力也相對提昇。然而，公務員將公事攜回家中處理之情形仍屢見不鮮，惟家中個人電腦畢竟防護力較低，且與其他成員共用容易遭駭客入侵而不自知。本案 ○○○私下將機密文書攜離辦公處所實已具行政責任，嗣因家中電腦遭駭客入侵致機密文書外洩，更須負刑事責任，對機密維護及機關形象造成極大之傷害。

相關法規：

一、公務員服務法第 4條：「公務員有絕對保守政府機關機密之義務，對於機密事件，無論是否主管事務，均不得洩露，退職後亦同。公務員未得長官許可，不得以私人或代表機關名義，任意發表有關職務之談話。」

二、 行政院文書處理手冊文書保密規定第 78點第 1項第 8款：「職務上不應知悉或敬啟或不應持有之公文資料，不得探悉或持有。因職務而持有之機密文件，應保存於辦公處所，並隨時檢查，無繼續保存之必要者，應繳還原發單位；無法繳回者應銷毀之。」

三、國家機密保護法施行細則第 28條第 1款：「國家機密應保管於辦公處所，其有攜離必要者，須經機關首長或其授權之主管人員核准。」  

四、電腦處理個人資料保護法第 17條：「公務機關保有個人資料檔案者，應指定專人依相關法令辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」

電腦處理個人資料保護法第 27條第 1項：「公務機關違反本法規定，致當事人權益受損害者，應負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。」

五、刑法第 132條：「公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者，處 3年以下有期徒刑、拘役或 3百元以下罰金。因過失犯前項之罪者，處 1年以下有期徒刑、拘役或 3百元以下罰金。非公務員因職務或業務知悉或持有第 1項之文書、圖畫、消息或物品，而洩漏或交付之者，處 1年以下有期徒刑、拘役或 3百元以下罰金。」

六、國家機密保護法第 32條：「洩漏或交付經依本法核定之國家機密者，處 1年以上 7年以下有期徒刑。因過失犯前項之罪者，處 2年以下有期徒刑、拘役或科或併科新臺幣 20萬元以下罰金。第 1項之未遂犯罰之。」