文/精品科技 品管課課長 許祐福
個資等於錢,擁有個資就擁有商機
過去國際犯罪的不法所得,金額最大應該是走私毒品,而現今利用個資所從事的犯罪行為,極有可能取代毒品成為金額最大、影響範圍更為普及的非法活動。所以國際間已經非常重視個資的保護,如果某個國家被認定在個資保護上不週,則國際間各個國家將會限制個資輸出到該國。對於極度仰賴進出口的海島型台灣,會損失很多商機,所以政府緊急修法,是為了讓台灣企業的個資防護水準能與國際接軌。
在現今資訊快速傳遞的年代,個人資料都可以跟錢有直接的關聯,如何合理被利用,也是法律制定的目的。以臉書(facebook)在今年5月21日的收盤價33美元計算,市值約為930億美元。目前臉書的使用者總數已突破9億大關,其中每日活躍使用者(daily active user)人數為5.26億人,因此平均每位使用者貢獻的市值為176.81美元(930億除以5.26億;約台幣5,300元)。臉書上市創造的億萬財富,都是由這群每天主動奉上生活點滴的使用者所成就的。然而,他們並沒有因此分得任何一毛錢。也無法限制臉書如何利用他們的個資來從事營利行為。
個資法上路,台灣比國際更嚴格
隨著個資法上路,未來當事人在被收集個資時,可以得知是哪個企業的哪個部門,為了什麼目的要得到這些個資。甚至還可以知道,他所提供的個資會被保留多久,會不會傳遞到海外。而當事人了解這些資訊後,還會被告知若不願意提供個資,會有什麼權益受到影響(像是收不到優惠通知,或是無法收到中獎的通知…)。這些資訊的明確告知,確保當事人是在知情的情況下,自願提供這些資料,供企業作特定目的的利用。若未來他所提供的個資,要被作超出原先目的、範圍的用途時,他也應會收到一份請求同意的專屬通知。也可以在首次被行銷時,透過免費的聯絡方式要求停止利用他的個資。只要他高興,可以隨時向企業要求閱覽、給予複製本、更正或刪除企業所擁有的個資。
然而,法律是兩面刃,保障當事人權益的同時,也給了來者不善的人士傷害企業的機會。就像企業的資訊設備提供對內對外的服務,是為了創造營收或增加工作效率,但也為駭客提供了長驅直入的窗口。身為企業或資訊部門的主管,面對即將上路的個資法(預計2012年10月01日正式實施),必須要重新檢視和調整個資蒐集、處理、利用的程序,避免以身試法,成為同業間分析個資法的經典案例。
尤其台灣所制定的個資法比國際間更嚴格。以日本在2005年正式實施的個人情報保護法為例:日本是以擁有5,000筆個資,才需納入法律保障的規範;而台灣是一次到位,只要擁有1筆個資就需符合法律要求。適用範圍也從初期的電子商務,擴展到所有的公務與非公務機關。且企業需自負舉證責任,依照「舉證責任之所在,敗訴之所在」的經驗,企業在面臨訴訟時明顯處於劣勢。
個資法推行,企業應該思考的重要問題
未來也可能是個資蟑螂橫行的時代。個資蟑螂可能藉由各種手法來勒索或打擊企業形象。例如:向主管機關舉發企業未善盡保護個資責任,而使企業蒙受行政處罰和商譽損失。或是假冒當事人行使檢閱個資的權力,取得當事人更完整的個資去從事犯罪。如果企業無法舉證,未來當事人受到實質損失時,企業可能會面臨當事人訴訟及賠償。如同燦坤在2012年初發生的案例,在未來個資法上路後,已經不是一句不知道或是查不出來就可以脫身的。
作者: 林佩怡 中時電子報 2012/1/6
台北市法規會最近接獲六位民眾投訴,指在燦坤網路商城購物後,接到詐騙電話,其中一人遭騙十多萬元;消保官懷疑個資外洩,要求業者說明,警方也介入調查。
燦坤副總經理張岳龍說,有關個資外洩的說法,燦坤已經向警方備案,但燦坤查不出有個資外洩,警方也未查出,所以並沒有個資外洩,因為連警方也查不到。張岳龍呼籲民眾購物,若發生詐騙情況,應向警方報案,燦坤希望警方早日偵破詐騙案。
所以在個資法推行後,首先您必須思考的幾個問題是:
1. 我們企業有那些個資?
2. 我們真的需要這些個資嗎?
3. 這些個資當初被收集的目的為何?
4. 現在留著這些個資還有價值嗎?
因為企業常見的問題是,蒐集了太多不需要的人的個資,也囤積了太多已經用過,未來用不到的個資。過去個資在企業代表的是正資產,擁有越多個資就擁有越多客戶或潛在商機。但隨著個資法上路,為了符合法令的最低要求,多了許多個資的維護成本,還可能因為保護不周而遭到行政、民事,甚至刑事訴訟。所以過去的正資產,現在可能變成負資產。
為了達成適當的防護水準,增加的個資維護至少包含:
1. 已擁有的個資,須於首次行銷時,實行一對一的完整告知。
2. 須提供正確、合理的聯絡管道,供當事人提出請求。
3. 當事人有權請求閱覽、製給複製本、補充、更正、刪除所擁有的個資。
4. 應有受過個資法訓練的專人,負責處理當事人請求。
5. 現有儲存個資的資料系統,需因應個資法增加欄位(取得來源、直接or間接收集、使用期限、使用目的)
6. 依照個資的使用期限,定期銷毀並留下記錄供未來舉證…等。
訂定管理手段與管理程序,有效保護個資
以上都是因應個資法所需增加的行政程序,為了避免被增加維護成本拖垮,讓握有個資維持在正資產的價值,建議企業需遵循最小蒐集原則加上個資使用期限,來控管個資數量。藉由盤點企業手上握有的個資,把不需要或已經用不到的個資銷毀,只留下有價值的個資。並主動告知客戶,你擁有他哪些資料,提醒他我們是在哪一次的活動中獲得他的資料,這些資料會拿來做那些用途。趁著因應個資法向客戶宣告,我們是注重個資的優良企業,也向潛在客戶聯繫,增加行銷機會。
接下來要思考的是:
1. 這些個資散落在何處?
2. 由哪些人保管?
3. 用什麼方式保管?
4. 在現有的使用流程中,有沒有機會遭到內部或外部人員上下其手?
對於沒有電子商務,也沒有蒐集大眾個資的企業,其實更要注意第4點。因為,不管你是哪一行業,企業可能都會保有面試的應徵者資料,員工的人事資料、保險和健檢資料。這就符合個資法,不限行業只要有一筆個資的適用範圍。
相較於電子商務經常遇到各式各樣的詐騙行為,業者早已習以為常,練就一套相應不理、明哲保身的標準作業程序。一般企業面臨的是
1. 你難以否認你握有曾面試、在職或離職員工的個資。
2. 這些個資會被不肖員工或外部有心人士,作為勒索或打擊企業的手段。
3. 缺乏面對個資訴訟的經驗,難以舉出企業有善盡保管責任的證據。
也就是,一般企業未來可能會面臨到的是有計畫性、針對性的攻擊,而非只是亂槍打鳥的詐騙行為。
因此,為了遵循法律以及避免可能的損失。即便是沒有蒐集個資的一般企業,勢必要作些調整與因應。要花很多錢投資嗎?其實也不見得,因為個資法主要是要求管理流程上的調整,並搭配適當的技術性防護措施。已發佈的施行細則提供11條遵循方向,包含:
1. 成立管理組織,配置相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 必要之使用記錄、軌跡資料及證據之保存。
11. 個人資料安全維護之整體持續改善。
只要管理階層有決心,有宣示、有計畫的支持,初步增加的主要是管理和行政成本。各項管理防護程序進入到落實層面時,才是比較需要導入技術性防護措施的階段,用以降低管理負擔和確保作業程序被落實的下一階段改善計畫。
而且對一般企業而言,因應個資法的最大目的是為了避免損失,每年投入金額原則上也不應大於每年預計損失。因此在因應的初期,更需要有經驗的顧問輔導,將有限時間和人力花在刀口上。對於已有資安控管制度的企業,也可藉由這個契機,將個資防護納入現有的管理制度中,順勢爭取必要資源、一併強化資訊安全的防禦力道。