Skip Navigation Links首頁 > 產業觀察

產業觀察

從資安觀點談新版個人資料保護法

作者/顏美惠

[發表日期:2010/3/5]

緣起

有鑑於資訊科技不斷的進步,新的行業也不斷的產生,如:網路購物業、電視購物業,再加上詐騙手法是越來越高招。在這些新興的行業中,因為商業營運的需要,都收集了許多個人資料。詐騙集團也就利用這些有意義的個人資料,進行了更創新的詐騙手法。配合這些因素,也因此電腦處理個人資料保護法已需要再修訂。

台灣的新版個資法草案己在2009年1月份通過二讀,預計最近可完成三讀,有可能在2012年全面實施,在此次的修法中將適用的主體擴及到更多之行業別,再加上罰則方面的提高,也因此未來對企業都會是一個重要且需要正視的議題。

何謂個人資料

在此我們先來探討一下,何謂個人資料,一般大家的直覺,所謂個人資料,不外乎就是姓名、地址、身份證號碼、電話、出生年月日…等,這些個人基本資料。但是就以廣泛性的個人資料而言,是以只要能以『直接或間接方式識別該個人之資料』,都是個人資料,因此護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等,都是在個人資料的範疇內。

在之前的一些個資外洩的案例中,不論是和企業主或是被洩漏資料的個人做了解,其實是會發現,若是洩漏資料僅是姓名、電話、地址..等,大家會認為這樣的洩漏是在自己可管理的風險下,但若是在洩漏的資訊中,還有其他更深一層的資訊,其實是會被最擔心的。

舉一、二個例子以說明之,若您因上網購物,而導至個資外洩,若詐騙集團手中還擁有的除了您的姓名、電話外,還擁有你購物明細,清楚你的購物行為,那麼這樣的事件,是很值得深入去關切的,這也表示,企業內部應該有未知的管道,才有可能把這麼詳細的個資做外洩。同樣的情況,若您是因為到醫院就診,而接到詐騙電話時,而且對方很清楚您生了什麼病、看了哪一科的醫生、吃了哪些藥,那麼這樣的個資外洩事件,對個人所造成的傷害應該是會很大的。

也因此,在我們談論到個人資料保護時,就個人資料的『廣度及深度』,是需要去清楚的定義及釐清。

接著我們再來看看,對於資料本身而言是『靜態』的,但是當資料在被處理時,其實是一個『移動』的過程,移動在組織內部不同的部門、不同的人、進行不同的作業。所以資料處理是有『生命週期』。企業在思考個人資料要如何保護時,應該要從這方向去思考及規劃的。

新版個人資料保護法

在個人資料保護法草案二讀版中,具有6個重要立法意旨:

一、擴大保護客體:納入人工資料 (如紙本文件),不再僅只於電腦處理之資料。

二、普遍適用主體:原本之規範只有列入受管理的政府機關,與8種民間產業(徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業 )。而新版個資法則擴及到各行各業。

三、增修行為規範:擁有個資之企業,不能任意運用個資進行行銷。同時在發生個資外洩時,企業必須盡到主動告知之義務 (基於SB 1386精神)。

四、強化行政監督:監督權責由執法單位的司法機構,授權至中央目的事業主管機關或地方政府得強制檢查、處分或處罰。

五、促進民眾參與:就是建立團體訴訟之機制 (代位求償)。

六、調整責任內涵:之前是只有民事責任,現在則有刑事責任。

在新版的個資法中,有關罰則部份也提高了許多,行政院版是5,0000萬,司法院的版本是10億,而立法院則是提出罰則無上限。目前有關罰則方面還沒有定論,但推測最後應是以折衷的數據,做為最後的版本。

企業內部,在執行各項營運業務時,企業內部作業人員,都有可能會機會接觸、處理這些個人資料,在新版個資法中,對於資料外洩不僅是企業負責人,單位主管及相關人員,也都會是成為訴訟的對象。

也因此,企業在面臨新版個資法時,就必須 "善盡管理之責" 來處理及保護 "個人資料"。以降低企業營運時的風險。

《圖一》



為避免因一時不慎而違法,建議企業先瞭解自己應遵循的法規有哪些、內容為何?確認公司內部需受到保護的資料類型,並且了解目前是如何保護資料,在何種情形下可能導致資料外洩,再行針對不足的部分加以補強。

凌群電腦提供的方案

一、事前的妥善保管:凌群電腦針對不同的資料與服務提供不同等級的方案,依據不同的架構、系統、服務,提供完整的規劃與建置方案。

二、事後證據之提供:事後證據的提供,包含了證據的收集,保存與提供,針對不同系統,凌群電腦提供不同等級的解決方案,可依據不同的現況加以規劃與建置。

(整體規劃相關資訊,請洽凌群電腦(02)2191-6066)

 

回上層