您的当前位置:主页 > V默生活 >从法律看科技:「个资」外洩与「资安」竟然没关係?

从法律看科技:「个资」外洩与「资安」竟然没关係?

文 / 资策会科法所专案经理 陈宏志

个资vs. 资安,到底有何差别

关于资讯安全之内涵,多数係以保护企业或组织之资讯资产为主,并透过相关软、硬体协助,如系统监测、权限控管等方式,确保资料/资讯/资产的机密性、完整性、可用性,及维持组织之营运或将风险降低。而个人资料,依据我国个人资料保护法(以下简称个资法)第 2 条的定义,指自然人之姓名、出生年月日、国民身分证统一编号…,及其他得以直接或间接方式识别该个人之资料。

然而,个人资料或许可能作为企业或组织内部之资讯资产,但两者在保护之法益及法令遵循的需求皆有所不同。

个资法要权衡的是避免人格权受侵害,以及促进资料的合理利用,与资讯安全透过软、硬体之技术手段保护资产的角度不同,个资法更加强调法令遵循之管理与保护。

因此,在保障当事人方面,个资法设计有对个资蒐集主体的要求,如蒐集前之告知,蒐集、处理或利用相关要件,当事人权利之行使,事故时之通知等;而合理运用部分,企业或组织可于特定目的範围内及符合法定情形下进行蒐集、处理或利用,都是必须遵守的规定。

个资法遵与资讯安全一样重要

古谚有云:辅车相依、唇亡齿寒,在现今企业或组织多透过技术手段保护个资或资讯资产之趋势下,对营运或业务面来说,倘个资或资安保护不佳,另一项之管理也会有极高风险,故两者是一样重要的。

但个资、资安因适用法规不同,在法律责任上将有所差异。举例而言,若违反个资法,不论公务、非公务机关或行为人,可能会负有行政、刑事或民事责任;而资安方面可能会涉及金融法规或内稽内控等规定。

以个资法为例,非公务机关若违反该法要求之个资档案安全维护相关规定,造成个资外洩,除当事人可请求损害赔偿,或有无意图为自己或第三人不法之利益等,涉民事(如于不易或不能证明实际损害额时,可以每人每一事件新台币(以下同)500 元以上 2 万元以下计算)、刑事(如损害他人之利益,可处 5 年以下有期徒刑,得併科 100 万元以下罚金)之责任外,中央目的事业主管机关或直辖市、县(市)政府尚可要求非公务机关限期改正,届期未改正者,按次可处 2 万元以上 20 万元以下罚锾。更严重之情节,如非公务机关违反个资蒐集、处理或利用之规定,主管机关更可处 5 万元以上 50 万元以下罚锾。

此外,大家别忘记,个资法还有团体诉讼的规定,对于同一事实造成多数当事人权利受侵害之事件,在损害赔偿部分,合计最高总额为 2 亿元。

而在资讯安全部分,行政院资通安全处(2016 年 8 月 1 日成立)提出之资通安全管理法尚未完成立法,在暂无专法的阶段,国内企业或组织违反资安规定,多依其他相关法令论处,如前述一银 ATM 遭诈领案,金管会係以该行违反银行法第 45 条之 1 第 1 项规定(主要係要求银行应建立内部控制及稽核制度,但细部规定由金管会另定之),依同法第 129 条第 7 款规定,核处 1,000 万元罚锾。

依目前金管会之规範体系,针对不同行业,分别订有其内部控制及稽核制度实施办法,如金融控股公司及银行业(包含银行机构、信用合作社、票券商及信託业)内部控制及稽核制度实施办法、保险业内部控制及稽核制度实施办法等。

以银行业为例,该实施办法第 38 条第  5 款规定,银行业之风险控管机制应包含应对业务或交易、资讯交互运用等建立资讯安全防护机制及紧急应变计画。如前所述,若有违反者依银行法第 129 条第 7  款规定,可处  200 万元以上  1,000 万元以下罚锾。

法令遵循务必注意,仍与产业自主管理有所不同

因意识到有关之法律责任,或有企业或组织规划导入个资、资安管理制度,并预计通过相关标準验证。依我国标準法第 4 条规定:「国家标準採自愿性方式实施。但经各该目的事业主管机关引用全部或部分内容为法规者,从其规定。」。

基此,坊间业者号称国际标準或国家标準,依法均非为强制性要求,多係产业自主管理之内容;然如相关法令已明文规定,像是个资法或是银行法等,企业或组织须建立个资或资安之管理制度、内部控制或稽核作业程序、规範或机制,违反者将负一定责任,故法令之遵循不可不慎。

综合个资法及金融法规观之,建议企业或组织切莫以为资安等同于个资,且为确实符合我国个资法及相关法令之规範,针对个人资料档案安全措施或维护计画之内容,如告知事项,个资盘点及风险评估,事故之预防、通报及应变,或委外监督等具体要求,应建立一定作业程序或机制,并落实内部控制或稽核,甚至规划取得具公信力之资料隐私保护标章(dp.mark),以恪遵相关法令。

——

更多个资、更多资安漏洞

全球 600 万笔个资洩漏光光!电信巨头 Verizon 这回玩笑开大了
Mac 资安漏洞让你也能当骇客:帐号输入 root,连戳 Enter 就能破解密码!
中信资讯员手残,数十万笔资料没了
远东商银遭到骇客盗汇 18 亿台币,当银行都这幺简单被骇我们还能相信谁?

相关阅读
申博太阳城_申博9.91最新版本|查询各类生活信息|家庭交流宠物生活|网站地图 申博官网备用网址_新甫京娱乐怎么下载 申博官网备用网址_皇冠正规app下载