淺析我國「電腦安全事件應變團隊」於執行業務上所遭遇之個人資料保護法障礙

2017年12月15號，歐盟網路暨資訊安全局（European Union Agency for Networkand Information Security, ENISA）發布「增強電腦安全事件應變團隊（ComputerSecurity Incident Response Teams, CSIRT）與執法單位合作：以法律與組織為中心」（Improving Cooperation between CSIRTs andLaw Enforcement: Legal and OrganisationalAspects）報告。其主要之目的在於研究「電腦安全事件應變團隊」（下簡稱CSIRTs）與執法單位於共同打擊網路犯罪上之組織與法律框架以及當前歐盟法於適用上所遭遇之瓶頸。CSIRTs與傳統執法單位之性質與目標並不盡然相同，CSIRTs之任務較著重於針對資安事件之預防與消彌，故其通常採取非正式之編制以便其可以靈活且迅速的回應資安事件，而傳統執法單位則採取較正式之編制，通常具備明確之法律位階與相關執法程序，其目標係再於取得證據以準備於未來法庭上攻防運用。由於必須具備行使職權之正當法律程序，相比於CSIRTs之非正式編制，傳統執法單位於運作上則就顯得較為捉襟見軸。