第184期 / February 5, 2013

產業觀察

分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

個資法實施了,我們該如何做?

作者/簡順堂

[發表日期:2013/2/5]


前言

行政院於101年9月21日以院臺法字第1010056845號令:「中華民國99年5月26日修正公布之『個人資料保護法』,除第6條、第54條外,其餘條文定自101年10月1日施行」,而法務部亦完成「個資法施行細則」、「個資法之特定目的及個人資料之類別」等法規命令修訂報院核可程序,於101年10月1日與個資法同步施行。

國內在研議修正個資法施行細則的這段期間,各界有強烈爭議的條文主要有三條,筆者在下面作一些說明,讓大家更瞭解一些。
第6條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、
    處理或利用。但有下列情形之一者,不在此限:
    一、法律明文規定。
    二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有
      適當安全維護措施。
    三、當事人自行公開或其他已合法公開之個人資料。
    四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為
      統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用
      之個人資料。
    前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行
    事項之辦法,由中央目的事業主管機關會同法務部定之。


第6條規範特種個人資料的蒐集、處理與利用,其中包含醫療、健康檢查資料,但病歷這個與上述兩項內涵相等的資料卻未納入,且例外要件過於嚴苛。因此,修正草案擬將病歷納入特種個資,例外條款擬加入「為增進公共利益所必要」及「取得當事人書面同意」兩種情況,例如當事人要去找工作,公司要求提供健康檢查紀錄,這時只要當事人以書面同意即可提供資料。

如果沒有修法,大概只能依據之三、當事人自行公開這一條來執行,如何自行公開,貼在公司門口或佈告欄應該算一種,那就要請人事單位自行到門口去看了,還真的不方便。

第41條 違反第六條第一項、第十五條、第十六條、第十九條、第二十條
     第一項規定,或中央目的事業主管機關依第二十一條限制國際
     傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、
     拘役或科或併科新臺幣二十萬元以下罰金。

     意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣
     一百萬元以下罰金。


第41條第一款非意圖營利但違反收集、洩漏或損壞個資如有人提告,將面對刑事責任,二年以下有期徒刑實在過重,我們可以看一下我國的刑法「第十二條 行為非出於故意或過失者,不罰。」如果非故意而違反了個資法蒐集處理利用的法規,卻要接受刑罰就真的太嚴苛了,因此,修正草案擬刪除刑事責任回歸民事賠償與行政罰鍰。

第54條 本法修正施行前非由當事人提供之個人資料,依第九條規定應於
     處理或利用前向當事人為告知者,應自本法修正施行之日起
     一年內完成告知,逾期未告知而處理或利用者,以違反第九條
     規定論處。


依第54條規定若擁有非由當事人提供之個資,需於新版個資法施行後一年內補告知。這條對於擁有大量間接個資的企業負荷過重(例如申請金融卡的連帶保證人、求職時的親友名單等),修正條款擬刪除一年內補告知期限,改為利用前告知即可(和第九條第三款相同)。

法務部為審慎因應上開三條爭議條文,另提出個資法部分條文修正草案陳報行政院,經行政院院會於101年8月30日通過,101年9月6日已函送立法院審議中。

個資法施行了,我們該做些甚麼?

了解了上述個資法的施行與修正法條後,我想大家最關心的應該還是個資法施行了,我們該做些甚麼事?以下筆者建議依據個資法施行細則第十二條的十一點必要措施來做就可以了,謹說明如下:

針對新版個資法中,明確指出公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,必需採取技術上及組織上之必要措施,並且在施行細則第十二條中列出十一項適當安全維護措施:

1.配置管理之專責人員及相當資源
2.界定個人資料之範圍
3.個人資料之風險評估及管理機制
4.事故之預防、通報及應變機制
5.個人資料蒐集、處理及利用之內部管理程序
6.資料安全管理及人員管理
7.認知宣導及教育訓練
8.設備安全管理
9.資料安全稽核機制
10.使用紀錄、軌跡資料及證據之保存
11.個人資料安全維護之整體持續改善

法務部參考德國聯邦個人資料保護法第九條規定,訂出的這十一項必要措施,已經包含了所有個資防護的機制與面向,建議可以直接參考據以執行並檢視我們組織是否有完成相關的作業。另外要注意的是,相關的作業其實應該是企劃、稽核或法務部門來做規畫,資訊部門只是執行單位之一而已,下面分別針對十一個措施詳細說明:

一、配置管理之專責人員及相當資源

組織必須指派一位人員出任個資管理代表,也可以是一個資安官或是一個資安編組,並依據執行時的需要,組織必須提供相關的經費、人力等資源,來協助管理人員實施各項管理程序,而這個編組要負責的事項,就是後續十個措施的規劃與執行。

二、界定個人資料之範圍

個人資料的範圍,就是找出個人資料在哪裡,也就是所謂的「個資盤點」,目的是要找出企業內擁有的個人資料。組織可依據個資的資料流來設計盤點表,讓各部門逐一清查,找出各部門中存放個資的載體,找出可能儲存個資的紙本文件、電子檔案等。針對電子檔案還可以導入輔助的資訊產品,可以自動尋找出公司的個資檔案或機敏檔案存放在那些PC與Server中,有許多資料防外洩系統(Data Loss Prevention, DLP)中,都包含個資自動盤點的功能,可以讓系統針對每台電腦作搜尋,將搜尋的結果和手動填報盤點的結果相對照,可以避免疏漏。

三、個人資料之風險評估及管理機制

組織可以進行風險評鑑或是隱私權衝擊分析,從這兩項作業中了解資產的價值,例如各台伺服器、PC對於業務執行的關鍵性,並分析可能遭遇的風險以及包含有哪些較為敏感的個資,來進行防護投資的考量與管理機制的規劃。管理機制中,對於網站會員的個資管理作為更應該特別注意,新個資法中對於個資蒐集、處理與利用的告知行為特別重視,所以,對於會員申請的網頁應請法務特別設計個資相關條款與隱私權宣告的條款,並應該設計當事人權力行使的相關網頁,以符合個資法的規定。

四、事故之預防、通報及應變機制

組織應建立起個資外洩事故應變的通報程序,也就是發生了事故後,通報程序與處理應變機制,都應該先規範好讓員工都知曉才不會屆時慌了手腳。事故的預防作為相當多,其實包含了全部十一項措施,這邊不作贅述。

五、個人資料蒐集、處理及利用之內部管理程序

這一條主要就是針對個資法對於個人資料的蒐集、處理及利用有嚴密的規範,所以組織要依法制定出一套合法的程序,對於蒐集、處理及利用這三項做明確的程序規範,以便員工遵循。

六、資料安全管理及人員管理

這邊的資料安全管理,主要提到的是對於存放資料的各種設備媒體,應該要採取防止資料外洩或毀損的作為,這部份可以採用的工具包含資料防外洩系統(DLP)、資料加密系統、網頁應用程式防火牆(Web Application Firewall, WAF)、資料庫防火牆(DataBase Firewall, DBF)等產品。人員管理則是提到組織要將資料進行分級,並依據不同職位的員工設定存取權限,對於個人系統帳號的妥善保管、密碼強度的注意等。

七、認知宣導及教育訓練

組織應定期對全體員工進行包括個資法令宣導、個資法組織內部作業規範與程序等認知性的宣導,另對於執行個資處理的員工,應施以更進一步的個資保護相關操作教育訓練,以使其擁有保護個資所需的工作技能。

八、設備安全管理

儲存資料的設備包含線上及非線上系統,分述如下:

(一)非線上系統安全管理包含文件及儲存媒體的管理,儲存紙本文件的地方,像是上鎖的櫃子,列印、傳真、報表等紙本文件的管理。靜態儲存媒體的管理,應考量例如光碟、磁片、磁帶、下線的硬碟、USB隨身碟、可攜式硬碟、手機行動裝置等,要有明確的使用規範,才不會因為使用這些載具而造成個資外洩,這些媒體在送修及報廢處理上也要特別注意。有關硬碟送修或失竊,可以導入的資訊工具為資料加密系統,沒有系統密碼的人即使拿到硬碟也無法打開資料;報廢硬碟則建議使用消磁法,讓硬碟資料完全抹除。

(二)線上系統則包含機房安全管理與其他線上電腦的設備安全,機房安全管理包含機房的門禁、監錄、環控、電力、空調、UPS、消防、漏水等。電腦的設備管理,應注意軟硬體資產的清查、是否有安裝防毒防駭軟體、各種軟體是否有更新修補漏洞、設備運用控管(Device Control)等問題,這個部份如果因為組織的龐大與複雜,建議可以導入「電腦資產管理系統」來協助處理。

九、資料安全稽核機制

組織可敦請專業顧問定期進行外部稽核,確認組織個資安全保護的作業是否適當執行,或是舉辦內部稽核活動,可以從稽核中找出個資保護作為的缺失或潛在的問題。

十、使用紀錄、軌跡資料及證據之保存

有關伺服器、網路設備、網頁或資料庫的存取紀錄,其實是平時組織運作時發現問題的根源,本來就該妥善保存,例如,2010年4月國內某銀行網銀被駭客入侵,被金管會處罰了四百萬元,認為他們「未落實資安控管」,原因就是駭客入侵時有嘗試破解客戶的帳戶,許多客戶在登入網銀時發現他們之前有異常的登入失敗紀錄,可是由於該銀行沒有注意到伺服器中登入失敗的紀錄(伺服器太多,沒有人負責注意登入失敗的紀錄),因此,金管會才說他們沒做好資安控管。伺服器與網路設備太多,如果沒有採用LOG統整蒐集管理的工具,在有異常狀況時也不會即時知曉,這項工具亦稱為Security Information & Events Management (SIEM)。另外組織對於各項資料安全保護有關程序所產生的記錄(例如會議記錄與事件處理紀錄),也應妥善保存,以利日後事件追蹤或舉證之用。依個資法規範損害求償權是五年,這也意味著組織相關個資處理記錄至少要保存五年。

十一、個人資料安全維護之整體持續改善

有關組織個人資料安全保護整體作業,應該定期或是有相關事故發生後召開檢討會議,來評估個資保護制度落實的程度,並執行持續改善精進的作為,讓組織的個資保護做得越來越圓滿。

另外,施行細則還有提到,執行必要措施所需費用與保護的目的符合一個適當的比例為限。這個比例是多少?筆者認為應該也沒人可以回答,但是有一個參考答案叫做「業界水平」,亦即依相同業界每家公司的規模,對個資保護的投資額度來做參考資料。

結語

十一個必要措施介紹完了,希望讓您在面對個資法時有一些遵循的方向,感謝閱讀!