文/個資法專家
個資法上路短短不到半年的時間內,不斷爆出國內企業與政府的個資外洩案件。雖然至今尚無因個資外洩而賠錢的消息傳出,卻一再的反映出個資防護被忽略的嚴重程度。而身為企業主的你,應正視公司內部個資外洩的危機。
太子汽車於前日傳出個資外洩事件,發生在網站存放的一份純文字檔名單資料,裡面紀錄著政治人物的姓名、頭銜,及手機號碼。包括副總統吳敦義和新北市長朱立倫,以及吳伯雄等政要的手機號碼,全都在太子汽車的網站上曝了光,加上國民黨眾多民代和政要,一共1300多筆的個資外露。這已經涉嫌違反個資法, 1300多筆電話沒經允許就公開讓人能找到,雖然該網站重新整理上線後,這些資料已清除,但恐怕手機號碼已經擴大外流。
對民間企業而言,若該事件發生在自己身上,依照個資法第二十九條第一項規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」
面對個資法,企業應同步重視「紙本文件」和「電子檔案」;公司違法,不只老闆,實際上經手的員工,也有可能因此受罰。但若是能在被告的同時提出有將個資保護好的證據,則免責。因此公司員工的個資處理,不但需要強化安全控管機制,未來更要確實追蹤資料流向。
積極實行『個資盤點』、『個資保護』、『稽核管理記錄』、『個資教育訓練』
秉持預防勝於治療的觀念,國際驗證公司BSI日前將英國個人資料保護標準BS10012,根據規畫、執行、稽核、「改善」四項建立出品質管理循環,並依據四字英文字首,簡稱為PDCA。也就是個資法及施行細則中所謂的「適當安全措施」在訂立時所必須參考的標準。
「規畫」:分為制訂個資保護政策和設立立『專門組織』、明訂個資存取控管程序與方法兩項。
「執行」:涵蓋了進行『個資分類盤點』與『保護程序』、落實個資保護宣導與『教育訓練』。
「稽核」和「改善」:包括了加強個資安全監控與檢視、提高個資外洩事件反應能力、重新審視與委外廠商的權利和義務以及遵守法規並落實『內部稽核機制』。
優碩資訊科技解忠翰表示:『除了完整PDCA安全措施外,企業還可以將盤點出的個資加設DLP/DRM防止資料外洩技術,將個資文件加密保護、及個資文件設權限,將可以達到個資保護的效果。』
讀者迴響