雖然我們都明白,內部威脅包含有意與無意的兩大類型,大多一般情境屬於無意;但離職員工離開組織前,並不被允許獲取或下載敏感的公司數據,因此蓄意的機會很大。
下面這些情況可能會嚴重影響企業,尤其是當離職員工帶著機密商業資訊或商業秘密至競爭對手時。重視關注此類資訊息的盜竊所導致削弱企業的運營、喪失競爭優勢等議題是有道理的,須注意不要因此而忽視由此而產生的其他法律和監管影響。
商業秘密通常是指具有商業價值的信息,因此通常是被保密保護的。範例包括公式、模式、程式、設備、方法和其他有價值的業務數據。這些數據通常是公司保持競爭優勢的重要命脈。這些秘密必須得到保護,以維持其價值,並受大多數國家採用的類似營業秘密法的法律保護。企業需要證明他們已採取合理措施來保護其商業秘密。
合理保護措施可以包括:
- 實施存取控制以限制員工下載或共用敏感資訊的能力
- 要求員工簽署保密協定和限制性(包含競業禁止)契約
- 定期對員工進行資訊安全和保密意識重要性的培訓
- 使用監控工具偵測敏感數據的異常存取、下載和傳輸行為
不採用此類保護措施可能會危及公司要求保護商業秘密的能力,並且影響在這些秘密被盜時,尋求法律補救措施時的舉證能力。公司應諮詢值得信賴的IT和法律顧問,以確保他們有足夠的保護措施,並留下足夠有利的證據。
雖然竊取機密商業和商業秘密資訊很容易引起人們的關注,但只關注這方面可能會導致公司忽略另一個關鍵風險:個人資訊被盜。刪除公司資訊可能是離職員工,造成破壞的一部分,還可能會包含無意或有意的獲取個人資訊,例如員工或客戶個人資訊,這可能會觸犯重大法律規定,尤其是在未經授權存取或獲取的情況下。
與通常的假設相反,在個資法中洩露個資不僅僅是的身分證字號而已。大多資訊保護相關法規對「個人資訊」的定義很寬廣,包括以下要素:
- 財務帳戶資訊,包括提款卡或信用卡號
- 駕駛執照或身份證號碼,健保卡卡號
- 健康、保險和醫療資訊
- 生日
- 網路帳戶身分,例如登入用的使用者帳號和密碼
- 生物識別資訊,例如指紋或面部識別描述檔,DNA資訊等
未經授權存取或獲取這些個別資訊元素以及個人姓名可能造成數據洩露,需要及時通知受影響的個人,在某些情況下,還需要通知主管機關。
更廣泛的監管和合約上衝擊
除了保護個人資訊的個資法之外,公司還必須考慮敏感數據被盜時,被監管的合約對資訊保護的要求義務。
例如:
- 上市公司:如果認為資訊盜竊事件是重大的,則根據證交所的規定,員工盜竊關鍵業務資訊需要揭露公司重大訊息。根據金融監督管理委員會(金管會)明文規定,國內任何一家上市、上櫃或興櫃公司出現重大資安事件時,應即時發布重訊;企業重大資安事件定義,以下受害類型都須發布重訊:包含公司的核心資通系統、官方網站或機密文件檔案資料等,遭到入侵、破壞、竄改、刪除、加密、竊取、分散(散佈)。2024年5月更新,則是刪除了 “核心”、”機密”二個用詞,適用範圍更廣
- 關鍵基礎設施企業:如果敏感的機密業務數據洩露,在受監管業務的能源或醫療保健服務的公司,可能有義務向主管機關報告。
- 合約義務:許多企業與企業客戶簽訂合約,要求在機密商業資訊或個人數據洩露時發出通知。
忽視這些義務可能會使組織面臨罰款、訴訟和聲譽損害,從而加劇組織機密商業資訊被盜已經造成的傷害。
最後,離職員工竊取機密商業資訊對企業來說可能是毀滅性的。若僅僅關注在限制性契約、競業條款、商業秘密或商業資訊,可能會忽略了法律和監管義務的涵蓋範圍。為了有效應對此類事件,建議組織應該採取措施:
- 確認數據資訊偷竊的性質:評估數據資訊內容是否包含個人資訊、商業秘密或其他可能觸犯特定法律義務的敏感資訊;借助內容辨識工具自動化識別資訊類型。
- 評估法律和監管義務:確定法律規範、行業特定規則或合約規定是否需要通知甲方或者需要通報主管機關。
- 利用限制性契約約定補強:評估適當的法律或合約補強措施,包括根據限制性契約約定、保密協定和其他協定,作為解決盜竊問題的部分策略。
- 實施強制保護措施:加強數據保護措施以降低未來事件的風險,包括員工培訓、加強使用者活動監控(UAM 工具),和健全的離職程序。
雖然應對內部威脅無疑具有挑戰性,但採取全面性的偵測和主動防護的方法,可以幫助企業保護其利益,並最大限度地減少法律風險。在當今網路互聯互通,且受到高度監管的世界中,瞭解與數據盜竊相關的全部風險和義務並採取措施,對任何企業都都可能是生死攸關。