產業觀察

從資安觀點談新版個人資料保護法

作者/顏美惠

[發表日期：2010/3/5]

緣起

有鑑於資訊科技不斷的進步，新的行業也不斷的產生，如：網路購物業、電視購物業，再加上詐騙手法是越來越高招。在這些新興的行業中，因為商業營運的需要，都收集了許多個人資料。詐騙集團也就利用這些有意義的個人資料，進行了更創新的詐騙手法。配合這些因素，也因此電腦處理個人資料保護法已需要再修訂。

台灣的新版個資法草案己在2009年1月份通過二讀，預計最近可完成三讀，有可能在2012年全面實施，在此次的修法中將適用的主體擴及到更多之行業別，再加上罰則方面的提高，也因此未來對企業都會是一個重要且需要正視的議題。

何謂個人資料

在此我們先來探討一下，何謂個人資料，一般大家的直覺，所謂個人資料，不外乎就是姓名、地址、身份證號碼、電話、出生年月日…等，這些個人基本資料。但是就以廣泛性的個人資料而言，是以只要能以『直接或間接方式識別該個人之資料』，都是個人資料，因此護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等，都是在個人資料的範疇內。

在之前的一些個資外洩的案例中，不論是和企業主或是被洩漏資料的個人做了解，其實是會發現，若是洩漏資料僅是姓名、電話、地址..等，大家會認為這樣的洩漏是在自己可管理的風險下，但若是在洩漏的資訊中，還有其他更深一層的資訊，其實是會被最擔心的。

舉一、二個例子以說明之，若您因上網購物，而導至個資外洩，若詐騙集團手中還擁有的除了您的姓名、電話外，還擁有你購物明細，清楚你的購物行為，那麼這樣的事件，是很值得深入去關切的，這也表示，企業內部應該有未知的管道，才有可能把這麼詳細的個資做外洩。同樣的情況，若您是因為到醫院就診，而接到詐騙電話時，而且對方很清楚您生了什麼病、看了哪一科的醫生、吃了哪些藥，那麼這樣的個資外洩事件，對個人所造成的傷害應該是會很大的。

也因此，在我們談論到個人資料保護時，就個人資料的『廣度及深度』，是需要去清楚的定義及釐清。

接著我們再來看看，對於資料本身而言是『靜態』的，但是當資料在被處理時，其實是一個『移動』的過程，移動在組織內部不同的部門、不同的人、進行不同的作業。所以資料處理是有『生命週期』。企業在思考個人資料要如何保護時，應該要從這方向去思考及規劃的。

新版個人資料保護法

在個人資料保護法草案二讀版中，具有6個重要立法意旨：

一、擴大保護客體：納入人工資料 (如紙本文件)，不再僅只於電腦處理之資料。

二、普遍適用主體：原本之規範只有列入受管理的政府機關，與8種民間產業(徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業 )。而新版個資法則擴及到各行各業。

三、增修行為規範：擁有個資之企業，不能任意運用個資進行行銷。同時在發生個資外洩時，企業必須盡到主動告知之義務 (基於SB 1386精神)。

四、強化行政監督：監督權責由執法單位的司法機構，授權至中央目的事業主管機關或地方政府得強制檢查、處分或處罰。

五、促進民眾參與：就是建立團體訴訟之機制 (代位求償)。

六、調整責任內涵：之前是只有民事責任，現在則有刑事責任。

在新版的個資法中，有關罰則部份也提高了許多，行政院版是5,0000萬，司法院的版本是10億，而立法院則是提出罰則無上限。目前有關罰則方面還沒有定論，但推測最後應是以折衷的數據，做為最後的版本。

企業內部，在執行各項營運業務時，企業內部作業人員，都有可能會機會接觸、處理這些個人資料，在新版個資法中，對於資料外洩不僅是企業負責人，單位主管及相關人員，也都會是成為訴訟的對象。

也因此，企業在面臨新版個資法時，就必須 "善盡管理之責" 來處理及保護 "個人資料"。以降低企業營運時的風險。

《圖一》

為避免因一時不慎而違法，建議企業先瞭解自己應遵循的法規有哪些、內容為何?確認公司內部需受到保護的資料類型，並且了解目前是如何保護資料，在何種情形下可能導致資料外洩，再行針對不足的部分加以補強。

凌群電腦提供的方案

一、事前的妥善保管：凌群電腦針對不同的資料與服務提供不同等級的方案，依據不同的架構、系統、服務，提供完整的規劃與建置方案。

二、事後證據之提供：事後證據的提供，包含了證據的收集，保存與提供，針對不同系統，凌群電腦提供不同等級的解決方案，可依據不同的現況加以規劃與建置。

(整體規劃相關資訊，請洽凌群電腦(02)2191-6066)