資安新知

文 ／ 精品科技 法務 邱芷葳

近年來，利用個人資料進行犯罪的事件層出不窮，造成大量的個人資料四處流竄，對個人權益已然造成嚴重損害，早年保障個人資料的法律－《電腦處理個人資料保護法》

《電腦處理個人資料保護法》隨其適用對象卻僅侷限於政府機構與徵信、醫院、學校、電信、金融業、證券、保險及大眾傳播等八大行業，且受保護的範圍也只有電腦處理的個人資料而已，紙本資料根本不在此範圍內，實在沒辦法有效涵蓋所有的個資犯罪型態，為了完整保障個人權益，於是制定了新版的《個人資料法保護法》。新版的個人資料保護法不僅將以往的適用範圍，擴大到所有保有個人資料的自然人、企業、公務機關或其他團體，並且除一般性的個人資料外，也增加了基因、醫療、性生活、健康檢查與犯罪前科等五項敏感性資料有限度的蒐集、處理及利用規範，也就是說除非有:
1.法律規定
2.履行法定職務或法定義務，且有適當安全維護措施
3.當事人自行公開或已合法公開
4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料等四種法定情形，否則不得任意蒐集、處理及利用敏感性資料。

而因企業及公務機關往往保有大量的個人資料，因此，新版個人資料保護法實施後，企業及公務機關所需負擔的個人資料安全維護責任也更被加重。舉例來說，國內以往有許多知名企業都曾經發生過大規模的個人資料外洩事件，但受害者往往卻因不知情，而導致其權益受損卻無法主張。因此，新版個人資料保護法特別規定，當企業或公務機關所蒐集、處理及利用之個人資料遭到竊取、洩漏、竄改等情況時，企業或公務機關有義務即時以適當的方式（例如電話、信函等）通知當事人。如有違反規定，主管機關可令其限期改正，並可按次處以二萬至二十萬元不等的罰鍰，如因此造成當事人的損害，賠償上限甚至可高達二億元，由此可見，新版個人資料保護法對個人權益保障之重視程度。

在個人資料保護法實施後，個人應該如何保障自身權益？

個人資料保護法實施後， 每個人都將有權對於保有自身個人資料的企業或公務機關，提出查詢、閱覽或提供複本的請求，以確認企業或公務機關所保存個人資料的正確性。如果核對後發現有錯誤或遺漏，也可以請求企業或公務機關更正或補充。此外，個人可以隨時提出停止蒐集、處理或利用之請求，讓企業或公務機關不得繼續使用自己的個人資料，尤其是現在的企業經常使用電話行銷來銷售自家的產品，如果不願成為電話行銷的對象，隨時都可以提出停止使用自己個人資料的請求，甚至要求直接刪除所保有的個人資料，以杜絕後患。企業或公務機關對於上述請求，也都必須在30天內作出准駁的決定。

再者，企業對個人資料的蒐集、處理或利用，除應有特定目的外，且蒐集或處理個人資料時，另需有法律明文規定、或有契約關係、或經當事人書面同意等，才可合法進行。

企業或公務機關如違反個人資料保護法的上述規定， 導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利，個人有權利於知道損害發生及賠償義務人時起二年內，向企業或公務機關請求損害賠償。如因同一原因事實造成多數當事人權利受到侵害， 聯合受有損害的當事人二十人以上，即得委託財團法人或公益社團法人提起團體訴訟。

團體訴訟應如何發動？

然而，什麼是團體訴訟呢?所謂團體訴訟，係指同一個原因事實的發生，可能同時使多數的當事人受到損害，此時各個當事人依民法及民事訴訟法的規定，原本各自得以自己名義提起損害賠償訴訟，於訴訟中成為當事人而受判決，但各個當事人卻不以自己的名義對引起損害之人提起訴訟之方式，反而將此項訴訟權利藉由某種方式讓與給特定資格的團體集結眾人之力，由此類團體代替他們向加害人請求賠償。

例如：信用卡發卡銀行因持卡人長期交易所蒐集、累積的眾多個人資料，如果因為員工盜拷後販售給詐騙集團，導致銀行違反個人資料保護法第27條之安全措施責任，只要集結其中二十個人以上的受害人，就可以將這些受害人的訴訟實施權用書面授權給具備個人資料保護法所限定資格的財團法人或公益社團法人，如此一來，該法人即可以自己的名義自行或委任律師向違反個人資料保護法的組織或個人提起團體訴訟，若無法證明損害數額時，則可依法請求每人每一事件五百元以上二萬元以下的損害賠償，賠償總額最高可達二億元。

目前因新版個人資料保護法尚未正式施行，因此，國內還未有個資外洩的團體訴訟案例，但國外已有類似的案例發生，並且已向加害人發動求償訴訟。2011年04月，南韓的一位使用者指控iPhone不當擷取個人位置資訊，導致其憲法保障的個人生活受到侵害，於是委請律師向南韓法院起訴蘋果，經南韓法院正式判定蘋果南韓分公司應支付該使用者約韓幣一百萬元（約台幣兩萬七千元）的相關精神賠償。判例一出，短短半個月的時間，就有兩萬七千八百萬個受害者紛紛求助打贏這場官司的律師，要向蘋果提出集體訴訟。比照每人韓幣一百萬的求償金額，蘋果的賠償規模可望達到兩百七十億韓元（約台幣七億兩千九百萬元）。

另外，Sony 於去年四月也曾發佈消息說，Sony集團內以美國為中心發展電影與遊戲網路配信服務「Play Stat ionNetwork」與「Qriocity」，遭到駭客入侵，造成了至少7500萬人會員顧客的資料外洩。外洩的資料中，包括會員的名字、地址、電子信箱、生日、ID與密碼等，因此，Sony用戶也已經向加州法院提出集體訴訟，控告Sony未能妥善保存使用者的個資。若以過去日本針對個資賠償的判例一人賠償三萬日圓的金額計算，Sony在這次被稱為「史上最嚴重個資外洩」事件中，賠償總金額恐將超過二兆日圓。

結語

綜合前述可知，個人資料如遭人不當利用，被害人可以依據個人資料保護法加以主張，除此之外，也仍有其他法律上的權利可以主張。例如：如果被害人與加害人有進一步的契約關係時，則可視契約對不當利用資料的行為，有沒有約定違約賠償責任。如果沒有契約關係，被害人可以考慮用隱私權等人格權被侵害為理由，依照民法之侵權行為規定，向加害人請求財產上及非財產上損害賠償，如果同時還有名譽被侵害的情形，則可以另外請求回復名譽的適當處分。此外，刑事部分，被害人亦可依具體情況，依刑法第三百十六條、第三百十八條之一等「妨害秘密」規定，對加害人提出刑事告訴。因此，個人資料保護法案公布施行後，個人更應注意個人資料被蒐集、處理及利用之合法性，不要讓自己的權益睡著了。

文 ／ 精品科技 稽核副理 許樹龍

99年4月《個人資料保護法》在立法院三讀通過，對於個人資料的保護管理，從此跳脫出原本舊法規設定的電腦框架，也向世人昭告 個人資料是重要的、有價的，是必須受到保護的 ，再也不是幾句人人呼喊的口號，而是即將成為所有組織必須採取的行動！

保護行動即將展開

在法規通過後，經過一年多的時間；終於在去年的第四季，個人資料保護法的施行細則已進行預告，這一個動作象徵著《個人資料保護法》的實施已迫在眉睫，所有組織不分大小即將
進入這場跨越民國百年的個人資料保護大戰。—是的，所有組織，只要握有個人資料都在《個人資料保護法》規範的範圍之中，所以若是還沒進行應有之作為，就必須加快腳步了。

如何進行個資保護

在個資保護管理實務層面上，建議大家參考戴明循環P(Plan)→D(Do)→C(Check)→A(Act)｣持續改善的循環方式，進行個資保護管理系統的建置。然而在進行系統建置之前，另外有一
件重要的事大家必須要了解—個資保護並非只是為了遵循法令的要求｣。換句話說，當他人基於信任交付我們一個重要的東西時，我們應該要給予某種程度的尊重，如何表現出我們的
尊重呢？就是對這個重要的東西進行適當地保護，這是人與人之間相處的基本行為；也就是說，保護個人資料本來就是擁有個資的人或團體應該做的事。當大家都具備此基本共識前提
下，建置出的系統應該會是在所能承受的風險內，最適合大家的系統。

系統建置的參考步驟

重要的第一步：

建立共識、形成目標、給予承諾《個人資料保護法》正式公告實施後，將直接衝擊許多企業或組織，造成實質的影響；企業或組織內部必須建立相同的個人資料保護共識，進行形成正式的目標以及基礎的政策，乃是跨出因應個人資料保護最重要的第一步。

隨即應檢視公司內部組織架構，定義各個部門在個資保護管理之權責，並成立個資保護的管理組織。公開承諾給予必要之資源，授予負責人員執行相關業務的職權，展現進行個資保護的決心。

第二步：教育訓練

古語有云: 知己知彼，百戰百勝 。雖說個資保護本來就是應該要做的事，但是，既然已經有法令要求，在規劃的過程之中，就不可不了解法令規範，因此適時的教育訓練是絕對有必要的，方可在開始就規避可能的問題，畢竟 預防勝於治療 ，好的開始就等於成功了一半。除了開始建置統前的教育訓練，開始執行相關個資保護措施後，持續的教育訓練也是必要的考量項目，而針對不同權責的人員，也應規劃不同程度的教育訓練。

第三步：個資盤點

從上一個步驟延續下來， 內部應該已經做過初步的訓練，明確知道什麼是個人資料，現在接下來就要進行個資盤點，確定要被保護的資料到底散落在哪裡？
進行盤點前，公司或組織應該先確定盤點清冊的項目，也就是要點出與該項個人資料有關的項目是哪些？
例如下圖的參考項目：

圖一：個資盤點清冊的項目

當初步確定盤點清冊項目後，就可以請各個相關部門進行個資盤點。對大多數的企業或組織而言，個人資料盤點是最耗費人力及時間的步驟，但是若是缺少了這一步，就很難有效地進行個人資料的保護與管理，因此就算困難也要堅持下去；不過，千萬也別為了要確認內部所有的個人資料都有盤點到，而一直耗在這裡而裹足不前。別忘了這一個持續改善的制度，沒有人一開始就做到100分，也沒有人敢說他執行的制度就是100分的制度。

第四步：建立管理制度

在完成內部第一份正式的個資清冊後，接下來就要進行保護管理相關措施的建立。首先，先就個資清冊之各項個資，建立個資流向(流程)圖，進行個資流程診斷。了解個人資料是如何取得、內部是如何處理、誰會用到這些資料、誰會保存這些資料、這些資料又是以何種形式被保存、誰可以修改這些資料、刪除、銷毀…等。

在完成個資流程診斷後，首先會知道是不是有些個資在其他部門有保存未被列入盤點清冊，重新更新正確的盤點清冊。接下來，可以利用初步的流程概念，規劃各個管制點的控制措施，進行資料管理控制、安全控制、環境控制、設備控制、人員控制、記錄控制、教育訓練管理、委外廠商的管理、風險管理、稽核機制、持續改善機制…等各項控制流程的建置，建立
起初步的個人資料保護管理系統。控制流程的建置，建立起初步的個人資料保護管理系統。

第五步：風險管理

在完成初步的管理系統建置，企業或組織應依據所選擇的風險評估方法， 進行首次的風險評估， 其考量內容可能包含：法規符合性評估、隱私權衝擊評估、資料敏感性評估、重大性評估、資料流向評估、資料生命週期…等，最後找出超過企業或組織風險胃納的項目，進行風險改善。或是結合營運衝擊分析，進行風險改善，之後再進行風險再評估，確定改善成效。利用此風險管理方法可以針對風險控管不當的項目，進行再次修改或調整。

第六步：持續改善

在運作個人資料保護管理系統的同時，應依據設定的稽核機制，進行系統運作的稽核作業，以合理確保系統有效率及有效果地運作。並依據查核的缺失、發生的事件/事故…等進行矯正預防作業，持續調整系統的運作。最後，定期的執行個人資料保護管理系統的審查機制，確認系統符合法令法規的要求以及企業或組織的政策，達到持續改善的目的。

輔助工具的選擇

在預告的個人資料保護法施行細則第九條明確說明「適當的安全維護措施包含組織上及技術上之必要措施」，在前段所敘述的幾乎都是組織上所採行的措施，對於要採行那些技術上的措施，幾乎毫無著墨，大家應該都很想知道到底要使用那些技術才能稱得上是適當的安全維護措施。但是很抱歉，這裡並沒有一個絕對的答案，因為我們不了解每個組織的規模以及所有擁有個人資料的內容，所以沒有辦法給一個絕對的答案。其實更重要的一個重點是，我們並不是法官。

然而在這個資訊技術發達的時代， 傳統的防火牆、病毒防護、以及簡單的網路保護…等，對於大多數的公司及組織來說是絕對不夠的，況且大多數的資訊安全事件、個資外洩事件都是由內部人所造成的，若是根據品管手法的80/20法則，是否該建立一些內部防護機制的資安軟體，答案已經非常明顯了。其中資安軟體簡易分類介紹如下：

1.防資料外洩系統(DLP)：
可以防止公司內部人員，利用電腦週邊的管道，大量的將資料從公司內部帶走。功能強大的軟體，更可以記錄寫出的資料，以及限制開啟的環境…等。

2.文件控管軟體(DRM)：
可將重要資料檔案， 進行加密與控管的軟體，讓無權限的使用者無法開啟檔案。設計優良的軟體，甚至可以限制檔案使用次數、使用時間及記錄使用者編輯、刪除、複製檔案的相關資訊。針對配合廠商也有唯讀或限制存取次數的設計。

3.監視軟體(Monitor)：
如名稱所述，其主要功能就是記錄。記錄電腦行為的資訊，或者是如同一般的行車記錄器，記錄電腦執行的畫面。

不過，在評估上述相關資訊安全產品時， 該如何選擇呢？ 我個人給的答案是「預防勝於治療」，建議優先選擇防護類型的產品。另外個人資料保護法施行細則也特別提到相關的使用記錄、軌跡資料及證據保存，因此資訊安全防護軟體的記錄能力也是重要一個重要的評選項目，記錄不只是保存數位化Log而已，而是中間很多的記錄軌跡都要能夠保留下來，重點在
於要能夠證明採用資訊安全防護的記錄軌跡，以及「還原」事件原本的面貌。

結語

目前國際上有ISO 27001（資訊安全管理系統）、英國的 BS 10012（英國個人資料保護標準），以及我國也有經濟部委託由資策會科法所擬定的 TPIPAS （台灣個人資料保護與管理制度），皆可做為大家建置個人資料保護管理系統的參考。然而，保護個人資料本來就是應該做的事。只要大家秉持著這樣的信念，絕對可以建置符合每個公司或組織的適當的安全維護措施。