根據金融監督管理委員會（以下簡稱金管會）明文規定，國內任何一家上市、上櫃或興櫃公司出現重大資安事件時，應即時發布重訊；如果損失超過實收資本額20%或新台幣3億元以上，須進一步召開重訊記者會。

但「重大性」的標準是什麼？企業如果違反發布規定會有什麼後果？以下根據證交所、櫃買中心在今（2024）年發布的公開文件，整理2點注意事項，提供企業參考：

企業重大資安事件定義出爐，以下受害類型都須發布重訊

公開文件指出，以下幾種受害類型需要發布重訊： 包含公司的核心資通系統、官方網站或機密文件檔案資料等，遭到入侵、破壞、竄改、刪除、加密、竊取、分散式阻斷服務攻擊（DDoS）等，導致無法營運或正常提供服務，或者發生個資外洩等 。

比如華航在2023年1月被踢爆會員資料外流，像是副總統賴清德、台積電創辦人張忠謀、名模林志玲的個資都遭外洩，該公司隨後發布重大訊息，揭露接獲匿名網路勒贖信件。

微星科技（MSI）在去年4月也發布重訊公告表示，公司部分資訊系統遭受駭客網路攻擊，但已經於第一時間啟動相關防禦機制與進行復原，並且通報政府執法部門及資安單位。

華航針對資安事件發布重訊。

圖／ 櫃買中心

何時發布重訊？違反會被罰多少？

執法部門也規定，企業必須在台股開盤前2小時（上午7點前）對外發布重大訊息，若未揭露依法可處新台幣3萬元～500萬元罰鍰。

最近的一次案例，即連鎖藥妝通路諾貝兒寶貝（丁丁連鎖藥妝）在去年9月14日查知客戶資料疑有外洩，但未依照規定於期限內發布重訊公告，因此被櫃買中心處以違約金新台幣15萬元，該公司在10月7日才發布重大訊息說明遭網路攻擊。

櫃買中心對諾貝兒公司違反重大訊息申報規定處以違約金。

 

圖／ 櫃買中心

子公司遭駭，母公司必須出面

此外，旗下子公司一旦發生重大資安事件，母公司需要替子公司進行公告。

舉例來說，和泰汽車旗下的共享汽機車平台iRent在去年1月爆發個資外洩事件，和泰汽車須代為公告。

和泰針對資安事件發布重訊。

圖／ 櫃買中心

與此同時，受害企業應該在年報、公開說明書中詳細敘述資通安全管理政策和方案、所投入的資源、資安風險的影響程度與因應措施，以及所遭受的重大資通安全事件對企業的影響（如營運或商譽損失）。

證交所提供的範例如下：

○○公司於民國X年X月受到電腦病毒感染，影響部分電腦系統及廠房機台，致相關生產亦受波及。

此次病毒感染的原因為內含○○公司未知的惡意軟體之新機台在○○員工安裝的過程中操作失誤。○○公司網路防火牆亦未能有效地防止病毒擴散。雖然資料的完整性和機密資訊皆未受到影響，

此次電腦病毒感染造成出貨延誤，本公司已於X年第X季認列電腦病毒感染相關損失新台幣X元（美金X元），帳列營業成本項下。○○公司已採取改善措施，例如實施自動化系統以防止安裝無保護的機台；強化網路防火牆與網路控管以防止電腦病毒跨機台及跨廠區擴散；進一步改進○○公司惡意軟體防護的措施也已在進行中。

○○公司已額外編列適當的預算強化資訊技術安全，但仍無法保證公司免於惡意軟體的攻擊。

無法合理估計損失範圍者，也應說明無法合理估計的事實。

責任編輯：林美欣