文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
國內個人資料保護法( 以下簡稱個資法) 施行屆滿週年,這一年來看似無風無雨,仍有些個人資料外洩案例與事件引起大家的廣泛關注與探討。如果再仔細分析,這些國內個人資料外洩事件與判例,可以做為各行業個人資料保護的借鏡。
話說許多專家學者常列舉日本個資法施行後三年的案例大爆發週期,警示國內政府與產業來格外重視個人資料保護的重要性。從某些私下訪談中,也發現不少產業以為是種威嚇的觀點,甚至態度觀望不言而喻。目前並無任何分析佐證,國情文化差異可以將日本狀態,套用到國內個人資料外洩模式。但是提高警覺並適度改善,進而讓政府企業將個人資料保護延伸到機敏性資料保護的價值,是不否認的課題,相關的案例與訴訟也不少,這是我在第二個章節會特別提出的觀點。這樣的防護模式,才可讓企業主更重視相關保護規劃,以及提高個人保護的雙贏效果。
個資法案例分享
個資法施行後一年,其實也累積一些判例,特別以年表圖例方式來呈現個資法施行前後案例差異。首先要建立基本概念,個人資料法屬於一般法,非特別法,更是屬地主義的法律。所以這樣的法律,即便是一般大眾都需要遵守與重視,都可能因為輕忽或濫用個人資料,而觸犯個資法。
從2013 年案例年表分析,第一個判刑的案例台南地院案例,被處拘役40 天或易科罰金4 萬元,是國內個資法施行後民刑事首例。所以個資法不只是政府企業需要遵守的法律,也擴及到一般大眾以及各行各業。
2013 年第二個引起大家關注的案例是中信銀網路銀行外洩個人資料事件。當時不少資訊安全專家以為是個資法施行後的首例,但受影響的當事人並未擴大成團體訴訟。反而是事業主管機關金管會認定,中信銀因程式設計不嚴謹,缺乏嚴密安全驗證測試程序,在個人資料外洩後未察覺客戶資料外洩,金管會依違反「銀行法第45 條之1 第1 項」規定,依銀行法第129 條第7 款,對中信銀核處新台幣400 萬元罰鍰。所以個人資料外洩,仍可以透過相關主管機關相關法律進行開罰。
2013 年第三個著名案例就是台灣Nokia 外洩 150 萬筆個資事件,因被定調為駭客入侵系統與委外廠商防護問題,也沒有相關會員個人資料在網路具體流動,而相關事業主管機關也沒提出相對的處置( 可能也沒有相關條例可罰),似乎在Nokia 公司的聲明中悄悄落幕。換言之,駭客入侵系統的認定,與個資法中適當安全防護措施及投資,是否是個資法外的保護傘,必須在往後的案例與判例中去認定。
所以從中信銀應進行嚴密安全驗證測試程序與Nokia 駭客防禦來保護其個人資料分析,「適當安全防護措施」扮演十分重要的角色。在此特別延伸探討在2012 年6 月兆豐銀行把計畫要銷毀的電腦委外處理,銷毀過程兆豐銀沒有全程監控,進而導致硬碟資料外流,金管會也開罰兆豐銀行200 萬元罰鍰。在這個案例中,雖然是個資法施行前的案例,卻凸顯出三個重要訊息,我認為十分值得借鏡的案例。首先是銷毀的程序與稽核制度不落實( 管理制度的設計問題)、第二、相關硬碟銷毀沒有落實檔案加密與磁碟消磁作業( 這是委外廠商的技術應用問題)、第三仍依據銀行法開罰( 這是法律面措施)。
小結前面的三個案例分析,已經說明了個人資料保護設計,必須妥善的應用調適三個大面向,一、個資法及延伸性法律的重視;二、妥善應用相關資訊技術來保護企業組織的個人資料;三、強化管理制度的落實。是個資保護的不二法門。
各行業要如何面對個資法
在探討各行業要如何面對個資法保護前,從個人個體角度來看,我相信每個人都不希望自己的個人資料被濫用或盜用,甚至引起名譽與財產的損失,這也是一個文明社會的標準。所以在企業與政府內,必須依法蒐集個人資料,並善盡個人資料的保護,這樣的觀點應是大家的共識。所以要善盡個人資料保護必須要方法,更必須在意三個重要元素( 我前段小節提到過),分別是:法律、制度、技術三元素。所以當各位在協助企業組織建立基礎個資保護手段時,這三個元素缺一不可。透過三個元素的平衡設計,就可以逐步收斂在企業組內的風險,雖然無法一次達成百分百的效果,透過PDCA 的循環作為,針對個資保護工作按規劃、執行、查核與行動來逐步進行,可以確保個人資料與敏感資料的保護之達成,在法律面必須遵守前提下,才可以去說服主管與老闆進行適度的安全應用投資以及制度的改善,進而建立一個安全的防護機制。
我想透過圖例深入淺出說明各行業建構個資保護的通則,再去細看各行業如何面對個資保護。
在每個企業組織中多少都已經建立相關管理流程及制度,也適度建立相關資訊安全防護措施,全力去遵守相關法令的規定是必要項目,而這些法令不僅是個資法,包含民法、刑法、各行業主管機關法律以及組織法…等。善用這些法令,也可以減少企業組織重要資產的損失,例如:營業秘密法、商標法…等。
當我們在設計個資法的保護措施時,不應以個資法角度去考慮而已,應延伸相關法律一併納入考量,舉凡營業秘密的保護,就是保障公司資產的重要規範,亦可保護其個人資料,這是一個雙贏的結果。當然不同的行業別,都有其事業主管機關,另訂定相關法令,例如:銀行業者就必須考量到銀行法;保險業者需要注意到保險法及其相關特別法;在醫療產業則必須考慮到醫療法、醫師法;在高科技產業更須考慮到營業秘密法、商標法。所以各行各業在評估建構個資保護時,除了個資法的考慮外,需要再了解相關法令,讓保護的課題可以更具效益更具保護的價值。
探討過法律的延伸應用後,再去分析第二個「制度」元素,每個企業組織在營運作業時都有其管理規範與流程制度的要求,這些要求與規範,其實稍加彈性設計就可以將法令的要求( 包含個資法)納入制度流程中,例如:個人資料的調閱,只需要增加審核確認的機制,就可以減少不必要的爭議與風險,而審核的機制就是確認相關個人資料在處理與利用的合法性。此外健保資料及公司團保資料,本是依法蒐集與保存,並無爭議之處,但須善盡保護的責任,個資保護的責任涵蓋實體安全保護與技術應用導入的安全保護機制,這一點將在第三個元素中說明。
已經具備管理制度標章的公司,例如:具有ISO27001 資安認證的公司或團體,其實可以依據相關制度,將個資法融入到管理制度中,例如在第二階管理辦法中訂定,在第三階的作業程序中描述符合公司組織需要的保護程序,進而在第四階的表單中建立合法處理利用的表單,並落實執行,就兼具ISMS 個資保護的效果。當然也會有企業導入BS10012 或國際規範,例如醫療產業設計資料交換必須遵守HIPPA 規定,都依據各產業別或需求性差異而不同,但是制度的規劃改良與設計,是不分產業別而有所不同。
在第三元素「資訊安全技術應用」這是一個硬道理無法避免的操作手段。在個資法施行細則第十二條中已經提出「並以與所欲達成之個人資料保護目的間,具有適當比例為原則」共11 個保護項目。透過資訊安全技術應用的導入,是達成保護措施最快速的手段。在IT 人員當然希望全部達成,但通常事與願違,因為我們很難從現實面去說服公司投資大量的資金在相對的保護技術上,所以施行細則才會提出「適當比例為原則」的規劃方向。
各企業組織應該依據現有的安全技術原則下,去補強相關資訊技術與軟體設備來降低目前風險評估中高風險的項目,就誠如前圖說明,逐年逐項的調整設計,才更符合公司實際需要,並不是投入大量的金錢,透過風險評估來調整才是上上之策。
如果企業尚未有相對的個資保護安全措施,那該如何進行呢? 提供以下幾個程序供各位參考,(1) 要先了解公司個人資料的狀態與種類;(2) 從資料源頭進行保護,舉凡電子資料、資料庫資料、紙本資料,但千萬不要忘記相對應的備份資料,都應進行保護設計;(3) 依據服務對象與資料的類型,導入相對的保護措施,例如:資料使用保護的DLP 產品或是資料加解密DRM 工具…等都是必要的源頭保護機制,當然紙本資料也有相對的手段;(4) 建立必要的驗證測試手段,在這一項設計要依據公司服務類型來調整,如果是網路服務業者,就必須設計相關的安全測試項目,如:黑白箱安全測試,甚至是滲透測試以及手機軟體安全測試…等,再將測試結果,回饋回公司資訊安全系統中的政策設計,才更具效益;(5) 事件的處理設計與追蹤,雖是亡羊補牢,而這設計的目的不是去抓入侵對象,而是透過資訊安全事件去找出洩漏的源頭,去做緊急防堵降低損失,再持續修正。
結論:
如果還是有其疑惑,可以透過專家顧問的諮詢,先分析出公司的狀態後,進而掌握我們個資保護的步驟與範圍,再依據考量三大元素後進行設計,相信會有不錯的成果。