重訊標準變變變！資策會名師重磅解析三次資安事件重大性標準

根據警政署於防詐儀表板公布資料，雖然每日民眾遭詐騙財損天天破億 ，企業發生個資外洩案件也時有所聞，然而，上市櫃公司對於疑似個資或資安事件，究竟如何發生、對於公司財損及影響為何，多查無相關資訊。資策會科技法律研究所高級法律研究員李怡親表示，隨著資安威脅日益嚴峻，主管機關滾動式調整重大訊息發布標準。自2024年1月雖有明確規範標準，但到了5月放寬標準後，大幅增加需重訊的情境，再到2025年1月重新限縮標準，以更符合實際風險事件等級，反映了市場面與監理面的不斷平衡。

以下，李高級研究員整理自2024年1月至2025年短短一年間，所調整的重大訊息標準：

2024年1月：首次明確規範資安事件的「重大性」標準

為了強化公司治理與資訊揭露，臺灣證券交易所（證交所）於2024年1月新版《上市公司重大訊息發布應注意事項參考問答集》，首次明確規範資安事件的「重大性」標準。根據版本，上市公司在以下情況發生時，公司應發布重大訊息（下簡稱「重訊」）之情形：

「核心」資通系統、官方網站或「機密」文件檔案資料，遭駭客攻擊或入侵，導致無法營運或正常提供服務，或有個資外洩之情事。同時，依照該問答集第26款，發布重訊之情形舉例，公司核心資通系統、官網或機密文檔等，遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊（DDoS）等，致影響公司營運者，或有個資外洩者皆屬之。此規範針對過去企業對於何謂「重大」的認定標準不明確的問題，提供明確指引，要求企業評估影響範圍並進行揭露。同年3月間，證券櫃檯買賣中心（櫃買中心）亦完成修訂。

2024年5月：重訊發布標準放寬

然而，到了2024年5月，證交所進一步修訂重大訊息發布標準：

大幅放寬重訊發布標準：將「核心」資通系統及「機密」文件檔案資料的限制性描述刪除。調整「機密文件檔案資料」的文句順序：自原與資通系統、官網遭駭等例示中移除，呈現因上述肇因，而有個資、「內部」文件檔案資料外洩「之虞」的因果關係。不必等到資料外洩，只要有個資、內部文件檔案資料外洩「之虞」即須發布重訊。此次重訊標準的放寬，使得企業不必糾結於是否為公司「核心」資通系統，或「機密」文檔的定義，只要有資通系統、官網遭攻擊，而有個資、內部資料外洩的可能性，即應發布重訊。

2025年1月：重訊標準再次限縮

2024年5月的標準實施後，主管機關期待透過重訊的發布，提升市場透明度。然而，企業卻可能動輒需要發布重訊，甚至可能造成誤報，造成投資人對於市場中重訊的敏感度降低。因此，2025年1月，證交所與櫃買中心再次調整標準：

新版標準重新加入「重要」資通系統，及「大量」內部文件的限制性描述。強調因果關係：公司重要資通系統、官方網站等，遭駭客攻擊或入侵，「致」個資或大量內部文件檔案資料，有外洩之虞等情事。

本次修正重點，將何謂「重要」資通系統，以及「大量」內部文件檔案的問題，再次交由企業評估與判斷。企業可透過質化及量化指標，判斷該資安事件對公司可能造成財損、對利害關係人的影響、修補缺失的成本、或有訴訟的評估、媒體報導等，可能影響投資人的投資決策等因素，決定是否發布重訊，以確保真正影響投資人決策的資安事件，得以受到重視。使企業能夠依照公司規模、資源、以及對於風險的承受度，進行更精確的風險評估。

發布重大訊息的法遵要求與罰則

根據《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》（重訊處理程序）第6條1項1款，以及同法11條1項9款，若上市公司發生符合上述標準之資安事件，遭主管機關處分或致公司重大損害或影響，且預估損失超過該公司實收資本額20%或新台幣3億元以上者，應於台股開盤前2小時（上午7點前）對外發布重大訊息。如未依規定揭露，證交所可依同法第15條第1項規定，最高處以新台幣500萬元之違約金。

李研究員強調，今（2025）年企業要特別注意法遵風險。由於憲法法庭於2022年要求須在3年內，也就是今年8月底前，建立個資保護的獨立監管主管機關（憲判字111年憲判字第13號判決要旨）。個資委員會正式成立後，面對監管權限集中與過渡，企業應密切關注最新法規變動，定期透過內部稽核，或是第三方個資及資安驗證，定期檢視內控的效率與效果，避免發生資安或個資事件外，同時兼顧投資人信心與企業營運的穩定性。