產業觀察
友善列印
轉寄友人「個資法」來勢洶洶,你了解了嗎?
作者/朱文歆
[發表日期:2010/6/28]
前言
近年來,相信大家皆聽聞許多企業洩漏公司機密資訊的新聞,例如:博客來書局販賣影展票洩漏會員個資、東森購物洩漏個資使客戶被詐騙集團騙了二十萬、疾管局洩漏千人結核病情……等等。而新版「個人資料保護法」已於今年4月27日經立法院三讀通過,因此未來在台灣所有企業與民眾,都必須遵守新法規範。在本篇文章中,我們將為讀者介紹與企業營運迫切相關的個資法簡介,與凌群電腦面對「個資法」所提出的應戰方法!
個人資料保護法簡介
首先,就讓我們為各位介紹什麼是「個資法」:
一、何時開始實施「個資法」?
法務部預估以6~8個月的時間訂定施行細則草案,待草案呈報行政院後,行政院審核時間約需2~3個月,加總起來,幾乎需要1年時間才能完成。因此,企業最快將於一年後面臨個資法的衝擊,因應時間從現在開始倒數大約只剩12個月。
二、「個資法」所規範的對象?
新版個資法適用對象擴及各產業,除了個人與企業,甚至包括各式各樣的團體都需要遵循個資法。因此舉凡任何個人、任何企業、任何形式規模的團體,哪怕是三五好友組成的私人讀書會,都在法條管轄範圍中。以下案例將來都會受到「個資法」的懲處:
- 標題:燦坤電腦系統遭駭客入侵,竊取顧客個人資料 (2010-06-04)
摘要:假客服詐騙案層出不窮,知名3C連鎖店資料疑遭外洩。台南市一名消費者到燦坤購買吹風機,刷卡付費後卻接到假客服、假銀行人員來電,兩名歹徒聯手合演一齣詐騙戲碼,謊稱誤將刷卡付費填寫成分期付款,誘騙被害人匯款17萬元...
出處:http://tw.news.yahoo.com/article/url/d/a/100604/52/26ua3.html - 標題:桃園高中教師甄試個資疑遭竊取 (2010-05-18)
摘要:桃園縣立高中現職教師甄試考試,十五號及十六號已經舉行結束,卻傳出先前平鎮高中所委託廠家架設,以供現職教師報名的網站,疑似遭到駭客入侵破解,竊取報名的二百一十八名老師個人資料,桃園縣網路中心緊急通報教育處處理,再通知資訊公司廠商緊急來修護...
出處:http://news.pchome.com.tw/society/bcc/20100518/index-12741435475724121002.html
三、「個資法」規定企業需要保護哪些個資?
企業必須保護的個人資料類型,包括了:個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動,以及其他可以直接或間接識別出個人的資料都屬於個資法的保護範圍。
四、「個資法」最低管轄資料數?
臺灣企業只要擁有1筆以上的顧客資料,企業就必須符合個資法的規範!不像日本個資法只能管轄5千筆以上的資料。
五、「個資法」規定:個人可行使新增、修改或刪除個資的權利
企業為了日後舉證確實執行顧客的請求,除了要記錄顧客提出的個資請求外,還得記錄執行請求的過程,因此各種與個資相關的作業流程都會受到影響,必須重新調整作法。不過,企業若是依據其他法律規定而蒐集或使用個資,例如財務資料依法必須保存7年,企業就有權拒絕使用者的刪除要求。
六、「個資法」規定:企業蒐集或利用個資前須告知當事人
企業必告知當事人,包括了蒐集目的、企業名稱、資料類別、資料利用期間、地區、方式、當事人權利,以及當事人不提供個資時,對其權益的影響等。而企業可以透過各種方式告知,電子郵件、簡訊、電話等方式,且告知不需要對方回應,只要有記錄能事後舉證,證明企業確實有告知即可。
七、「個資法」規定:利用個資須符合特定目的
若是企業利用個資的目的,已經和當時蒐集的目的不同時,企業就必須符合蒐集要件的規定,因此企業只能在特定目的範圍內,才能蒐集和使用個人資料。
八、違反「個資法」所需接受的罰則?
在新版個資法的規範下,一旦企業違法使用個資,顧客能提出團體訴訟來求償,最高求償金額高達2億元,但若顧客損失超過兩億時,則以損失金額為依據。而若因違法使用而對當事人產生損害時,老闆還得面臨五年以下的有期徒刑,這些都是個資法施行以後,企業立刻要面對的問題。
因應之道
根據Ponemon Institute 的研究,78%的企業資料外洩事件皆是公司內部的合法使用者所造成,因此,許多企業也開始佈署各項的防護措施,例如VPN、防火牆、網路監視器等等,來提供稽核記錄並防止外界不當存取內部的機密資訊。然而,這些解決方案並無法解決來自內部使用者的威脅,因為企業內部人員擁有資料的存取權限,因此內部人員反倒成為企業資訊外洩的主要管道之一;再加上「個資法」已經三讀通過,因此企業所受到的威脅可會更加嚴重!
然而法務部目前尚未確立「個資法」的執行細節,而資安廠商卻已先在近期舉著個資大旗,各自表述自家的Solution才是因應個資的最佳解決方案,因此近來更可看見許多個資研討會如雨後春筍般的廣為舉辦。但往往令人可惜的是,多數廠商皆自單一產品面或自身的角度來闡述個資法,也因此目前市面上所見的Solution,不免顯得過於偏頗與狹隘。
而凌群電腦有鑑於此,認為法務部在混沌未明的情況下擬定細節,勢必會依照ISO27001或是國外判例來制定相關細節,因此我們特別依據ISO27001之精神、流程、政策,擬定出個資檢核表,而透過此檢核表的訪談更可逐步確認出組織在資安防護上可能的缺失,並依此缺失提出建議方案。這背後的邏輯,就如同醫生診斷病人的病因,需逐步從頭到腳確認清楚,查出所有病因再依嚴重性程度優先治療。
故在透過凌群電腦所制訂的個資檢核表確認出各種病因後,我們得知未來資料安全策略之防禦資料外洩的主因一定不出以下三構面:
《圖一》
一、端點防護:
端點是企業資料外洩的最前線,因為在組織中,員工往往會為了便於使用資料,而將這些資訊儲存於個人電腦或隨身硬碟之中,這些資料則會經過有意或無意的方式造成資料外洩。
二、Web Security:
根據調查,有90%的網站所存在的弱點,其實皆是來自於撰寫網頁的程式人員不具備資安背景與技術,因而造成網站程式擁有許多漏洞,也因此形成駭客入侵的一個重要管道。
三、DB Security:
企業的核心資料(如病例、薪資等)幾乎都儲存於DB上,而過去組織中往往缺乏稽核具備存取DB的人員(DBA、維護廠商),因此若不善加保護稽核DB與這些擁有最高權限的人員,則會難以確保企業的重要資料不會大量流出,而這也說明了DB是防護企業資料外洩的最後一道防線。
結語
總歸上述,凌群電腦為提供客戶最完整的個資因應之道,因此我們預計將於今年八月開始親自拜訪各客戶,為各企業實施免費的系統檢核,且規劃解決方案,並於8/19舉辦一場盛大的個資研討會,以使各客戶能了解該如何有條理地面對來勢洶洶的「個資法」!
參考資料
http://www.ithome.com.tw/itadm/article.php?c=61306
