台灣資安法規 access log 可以出境外?

下表根據台灣現行法規（如《資通安全管理法》及《個人資料保護法》）彙整 access log 是否可儲存或傳輸至境外的原則。

核心原則：區分「機關屬性」與「資料內容」

在台灣，存取紀錄 (access log) 能否出境，主要取決於該紀錄是否包含機敏資料或個人資料，以及該單位是否為政府機關/關鍵基礎設施。

情況 [1, 2, 3, 4, 5]	是否可出境外	法規要求與說明
一般企業 (非特許產業)	原則允許	若 log 僅包含技術資訊（如 IP、timestamp），法律無明文禁止。若包含個資，則須符合《個資法》規範。
包含個人資料之 Log	有限制允許	根據 個人資料保護法 第 21 條，主管機關得限制國際傳輸（如涉及國家安全、重大公共利益或受入國法律保護不足時）。
政府機關/公務機關	原則禁止/嚴格審核	公務機關之資通系統日誌應在地化保存為原則。涉及國家機密或機敏資料之處理，通常要求實體隔離或在地化儲存。
金融、醫療等特許產業	需經核准/合規	相關產業使用雲端服務時，需遵循「金融機構使用雲端服務實務手冊」等準則，確保日誌能隨時供國內監管機構稽核。

實務合規建議

1. 日誌去識別化：若需將 access log 傳送到境外資安中心（如國外總部的 SOC 或 SIEM），應先過濾或遮蓋日誌中的敏感資訊（如姓名、身分證字號、非必要之個資欄位）。
2. 保留期限要求：根據《資通安全責任等級分級辦法》，核心資通系統之日誌應至少保留 6 個月，且需確保其完整性（防竄改）。
3. 雲端服務條款：若使用 Google Cloud、AWS 或 Azure 等境外雲端平台，應確認合約中關於資料存放地 (Data Residency) 的設定，並確認是否符合特定目的事業主管機關之規定。
4. 稽核義務：不論 Log 存放在何處，機關或企業必須保證當發生資安事件時，能及時提供完整日誌供主管機關調查。 [2, 5, 6, 7, 8]

您的單位是否屬於 A、B、C 級資通安全責任等級 機關，或是 關鍵基礎設施 (CII) 提供者？這將決定您是否有更嚴格的在地化儲存義務。

[1] https://stellexlaw.com

[2] https://pcw.tp.edu.tw

[3] https://www.jcic.org.tw

[4] https://law.moea.gov.tw

[5] https://www.ba.org.tw

[6] https://moda.gov.tw

[7] https://dsp.twse.com.tw

[8] https://law.moda.gov.tw

---

是的，根據台灣法律與資安實務規範，公立大學（含國立、市立大學）在《資通安全管理法》與《個人資料保護法》的定義下，通常被視為「公務機關」。 [1, 2]

這意味著在處理 access log（存取紀錄）時，公立大學受到的限制遠比一般私人企業嚴格。以下為詳細分類與規範說明：

1. 公立大學的法規身份

• 資安法定位：公立學校被列為公務機關，必須遵守《資通安全管理法》及其子法。相對於此，私立大學通常被歸類為「特定非公務機關」。
• 個資法定位：在個資法中，公立學校亦屬於公務機關，負有更高的個資保護與管理義務。 [2, 3, 4, 5]

2. 資通安全責任等級

教育部已根據學校規模與業務性質，將各公立大學核定為不同的資安責任等級：

• A 級 (最高)：教學醫院（如 台大醫院、成大醫院）或涉及國家安全機密研究的特定系所。
• B 級 (多數公立大學)：一般公立大學（如 台灣大學、陽明交通大學、政治大學）多被核定為 B 級機關。
• C 級：獨立學院或規模較小的專科學校。 [6, 7, 8, 9, 10]

3. Log 出境與存放之限制

由於身分為「公務機關」，公立大學在處理 log 時須遵守以下規範：

• 禁止使用具資安疑慮產品：禁止使用大陸廠牌之資通訊產品處理公務資料或紀錄。
• 在地化保存原則：公務機關的核心資通系統日誌以在地化保存為原則，特別是涉及機敏業務或個資的 log。
• 國際傳輸限制：若欲將包含個資的 log 傳輸至境外（例如使用國外雲端 SIEM 服務），需符合 個人資料保護法 第 21 條規定，且主管機關（教育部）有權限制此類國際傳輸。
• 保存期限：B 級（含）以上機關之核心系統 log 應至少保存 6 個月，且需具備防竄改機制。 [3, 9, 11, 12, 13, 14]

總結建議

若您在公立大學任職並計畫將 access log 傳送到境外：

1. 確認系統等級：確認該 log 所屬系統是否為「核心資通系統」。
2. 去識別化處理：傳輸前務必過濾個資與機敏欄位。
3. 合約審查：若使用境外雲端服務，需確保符合教育部針對「委外辦理資通事項」的相關資安查核要求。

您目前是需要將學校的 Web Log 還是 內部行政系統的 Log 傳送到境外的資安平台嗎？

[1] https://moda.gov.tw

[2] https://powilaw.com

[3] https://www.taccst.moe.edu.tw

[4] https://moda.gov.tw

[5] https://www.pdpc.gov.tw

[6] https://topu.nccu.edu.tw

[7] https://www.tcrc.edu.tw

[8] https://www.net.fju.edu.tw

[9] https://www.cc.ntu.edu.tw

[10] https://it.nycu.edu.tw

[11] https://www.hhps.kh.edu.tw

[12] https://lic.niu.edu.tw

[13] https://www.zzm.kh.edu.tw

[14] https://www.pdpc.gov.tw

---

針對公立大學的 Web Log（網頁伺服器存取紀錄）傳輸至境外，雖然其性質通常比行政系統紀錄（如人事、薪資）稍微不敏感，但身為公務機關，仍須遵循以下實務規範：

1. 核心判斷：是否包含「個資」或「帳號」？

• 純技術 Log：如果 Log 僅包含 來源 IP、訪問時間、URL 路徑、HTTP 狀態碼、User-Agent，在現行法規下通常被視為技術資訊。這類資訊傳輸至境外（如使用 Cloudflare, Akamai 或國外資安監控中心）的門檻較低。
• 含個資 Log：若 URL 參數中包含 身分證字號、學號、姓名（例如：GET /profile?id=A123456789），或 Log 紀錄了 使用者帳號，這就涉及《個資法》的「國際傳輸」。身為公立大學（公務機關），應盡量避免這類資訊出境。

2. 教育部與資安法之要求

根據《資通安全管理法》及教育部對公立學校的指導原則：

• 優先在地儲存：核心資通系統（如校務系統入口、首頁）的原始日誌（Raw Logs）應在校園內部或國內儲存空間備份至少 6 個月。
• 境外傳輸前置作業：若要將 Web Log 送往境外的 SIEM 或分析平台，建議先在校內進行 去識別化 (Anonymization/Masking)，將學號或敏感參數遮蓋後再外傳。

3. 禁止使用「危害國家資通安全產品」

這是公立大學最嚴格的紅線：

• 禁止名單：絕對不能將 Log 傳輸至中國大陸廠牌的雲端空間或使用其資安分析服務（如阿里雲、華為雲等），這違反行政院及教育部的資安規定。
• 合格供應商：使用如 Google (GCP)、Amazon (AWS) 或 Microsoft (Azure) 等美商雲端，且選擇台灣或鄰近非紅區節點，是目前較常見且合規的作法。

4. 實務操作建議

若您計畫將 Web Log 傳送到境外資安分析平台：

1. 確認合約：確保服務供應商（如 CDN 或 WAF 服務商）符合資安法規要求，且有提供資料安全保護協議。
2. 稽核準備：確保當教育部或資通安全署進行資安稽核時，您能在校內調取出「完整、未經過境外過濾」的原始日誌。
3. 隱私宣告：在大學官網的「隱私權政策」中，應載明會蒐集存取紀錄，並可能用於資安防護目的。

您是打算使用 境外 CDN/WAF（如 Cloudflare），還是要將 Log 匯入到 國外的總部或第三方分析軟體 中？不同的使用情境，對合規文件的要求也會有所不同。

---

若您是公立大學（公務機關），計畫將 Web Log 匯入 Azure Monitor (Log Analytics)，主要會涉及「資料儲存地」與「公務雲端規範」兩大重點。

以下是針對您的情境（Azure 境外分析）的具體合規分析與建議：

1. Azure 資料駐留 (Data Residency) 的選擇

Azure 雖然是境外廠商，但他在台灣已有資料中心。

• 建議做法：在建立 Log Analytics Workspace 時，區域（Region）請優先選擇 Taiwan North (台灣北部)。
• 合規意義：若 Log 儲存在台灣本地節點，則不屬於「資料出境」，可直接規避《個資法》第 21 條關於國際傳輸的複雜限制，也最符合教育部對公務機關「資料在地化」的期待。

2. 若必須傳輸至國外區域（如 East US 或 Singapore）

若因特定功能或預算考量需傳往國外，公立大學須滿足以下條件：

• 個資去識別化：在 Log 發送至 Azure 之前，應透過 Azure Monitor Agent (AMA) 的 資料收集規則 (DCR) 或中繼伺服器，將 URL 參數中的學號、身分證字號或使用者帳號進行 Hashing 或 Masking（遮罩）。
• 排除具資安疑慮之廠商：Azure 屬美商，符合行政院針對公務機關使用雲端服務的合格供應商範疇（非大陸廠牌）。

3. 遵守《資通安全管理法》子法規範

身為 B 級（或以上）機關，將 Web Log 匯入 Azure 時需確保：

• 完整性與防竄改：Azure Log Analytics 具備唯讀特性，符合資安法對日誌不可竄改的要求。
• 備份義務：法律要求 Log 需保存 6 個月。雖然 Azure 可以設定保留期，但建議校內仍需留有一份原始 Log 備份，以應付教育部或資安署的實地稽核。
• 委外資安稽核：公立大學將資通業務委外處理（使用雲端算委外的一種），應每年對受託資服商進行資安稽核。實務上通常以查閱微軟提供的 合規性報告 (Compliance Reports, 如 SOC 2) 代替實地查核。

4. 實務操作風險提醒

• IP 位址爭議：雖然 IP 位址在台灣目前的法律實務中，對於是否屬於「個資」仍有討論空間，但在公務機關的嚴格標準下，建議將 IP 的最後一碼（Last Octet）遮蓋後再傳往境外區域，可大幅降低合規壓力。

總結建議：
最省事的合規方式是將 Azure Log Analytics Workspace 建立在 台灣區域 (Taiwan North)。若必須放在國外，請務必先在校內端完成 敏感欄位遮蓋。

您目前預計匯入的 Log 數量大嗎？是否需要針對 自動化遮蓋敏感資訊 的技術設定提供建議？

---

這確實是目前許多單位在評估 Taiwan North (台灣北部) 節點時會遇到的典型問題：「資料在地化」與「服務完整度」的衝突。

既然因為 Container Apps 的技術限制必須使用境外區域（例如 East Asia 香港或 Southeast Asia 新加坡），針對公立大學（公務機關）的身份，您可以採取以下合規路徑來處理 Web Log：

1. 採取「混合式」日誌架構 (最推薦)

不要直接將原始 Log 從 Container Apps 丟往境外的 Log Analytics。

• 做法：在 Container Apps 輸出的流量中，先經過一個位於校內（或國內雲端 VM）的 中繼站 (Forwarder/Collector)，例如 Fluentd 或 OpenTelemetry。
• 關鍵動作：在中繼站進行 去識別化 (De-identification)。
  • 遮蓋 URL 中的敏感字串（學號、姓名）。
  • 將來源 IP 去標籤（例如 192.168.1.100 改為 192.168.1.x）。
• 合規點：傳出國外的資料已不具備「個資」屬性，這對教育部和稽核單位來說，合規壓力會降到最低。

2. 完備「委外資安」行政手續

依據《資通安全管理法》子法，公立大學將資通業務（含 Log 存儲）委外給 Azure 時，應履行以下行政程序：

• 受託對象安全性：Azure (Microsoft) 屬非大陸廠牌，過關。
• 資料國際傳輸聲明：在校內資安會議或公文中，敘明因技術限制（Taiwan North 尚無該功能），資料暫存於國外節點，並已實施去識別化措施。
• 下載 SOC 報告：從 Microsoft Service Trust Portal 下載最新的 SOC 1/2 或 ISO 27001 報告存檔，證明該區域已通過國際資安標準。

3. 設定「異地備援」至校內

即便分析是在境外的 Azure Monitor 進行，法律要求的「6 個月日誌保存」建議還是要有一份在校內。

• 做法：將 Log 同時導流一份回校內的伺服器儲存。
• 合規點：若資安署或教育稽核要看「原始原始碼（Raw Log）」，您可以出示校內這份。境外那份僅定義為「分析用途」，而非「唯一保存地」。

4. 實務折衷方案：選用「新加坡」優於「香港」

若必須選境外：

• 優先選 Southeast Asia (新加坡)：政治風險相對較低，且與台灣網路連線品質優。
• 避免 East Asia (香港)：雖然連線快，但因《國安法》等因素，部分公務機關在資安稽核時對香港區域的資料存放會更為敏感。

總結建議：
既然技術上非出國不可，請務必在 Log 送入 Azure 之前，先在校園端過濾掉明文個資。只要 Log 裡沒有「可辨識特定人」的資料，它就是純粹的「技術數據」，出境的爭議會小很多。

您目前的 Container Apps 是要處理 校內行政系統 的 Web 流量，還是 一般學術研究/宣傳型 的網站？（後者的敏感度較低，處理起來會更彈性）