You are currently viewing 恐罰1500萬?掌握個資維護辦法七大重點

恐罰1500萬?掌握個資維護辦法七大重點

個資維護辦法是什麼?人們較為熟知與之息息相關的《個人資料保護法》,在2023年5月由立法院三讀通過修正案,除了大幅增修罰鍰金額,以提升企業對於個資保護的重視度外,也將成立「個資保護委員會」,運用主管機關之獨立監督機制,強化個資保護力量。

那麼,被稱作「打詐五法」之一的個資法訂立了相關規範及罰則,企業該怎麼做才能合規呢?也許您需要一份範本、一份指引--個資維護辦法便誕生了。

個資又外洩!應落實資安維護用戶權益

個資外洩不一定會立即釀成財產損害,但當資料透過無遠弗屆的網路販賣流通,極有可能被歹人利用,發展成詐騙、社交工程攻擊等事件,後果不堪設想。因此,個資外洩可以算是距離市井小民最近的資安事件,光是2023年初就有共享汽機車平台iRent、微風集團、蝦皮與誠品生活等各行各業,連袂爆發個資洩漏疑慮,無法保障人民的資訊隱私權,不僅違反了《憲法》第22條,也導致社會大眾人心惶惶。

落實 個資維護辦法 可減少個資外洩事件
各大企業皆有可能發生個資外洩事件

門戶大開代表:iRent、Line Pay

資安措施若未完善,防禦效果近似於無?iRent就是打開自家大門的代表性例子,其暫存資料庫未妥善阻擋外部連線,造成外人可以隨意登入查詢的防護性缺口,客戶個資形同攤在網路世界的陽光之下,無所遁形。(延伸閱讀:雲端應用託管:安心上雲!讓您的雲端應用更加安全可靠

而Line Pay也在2021年9月,誤將台灣用戶的行銷活動資料上傳至GitHub,察覺不對勁時已有外部瀏覽紀錄,估計損及逾7萬人的權益。

駭客入侵代表:微風集團

勒索軟體猖獗的世代,或許難以逃離駭客的魔掌。縱使微風集團在收到勒索情資後,第一時間啟動了資安應變措施,清查後也確認所謂的外流資料與內部資料並不完全相同,然而駭客論壇Breach Forums聲稱竊取資料庫會員機敏資料,在微風集團消費過的民眾們無不擔心自身個資安全。(延伸閱讀:加密病毒超兇!不被勒索的自救祕方大分享

網拍釣魚代表:蝦皮、旋轉拍賣

電子商務發展至今已是千變萬化,且入門門檻較低,許多斜槓青年皆可從零做起,但也容易在擴展業務的過程中忽略了資安疑慮,含括商城與個人賣家的蝦皮購物,以及主攻二手物品賣場的旋轉拍賣,都在2023年被駭客鎖定發起釣魚攻擊,盜取大量個資,其中蝦皮更在高風險賣場之排名中打敗其他電商品牌,躍為首位,後因資安防護措施未改善而遭罰20萬元。(延伸閱讀:萬事皆可AI 如何用資訊管理工具盯資安

接到詐騙代表:誠品、博客來

駭客組織是否已拿到上述洩漏事件之個資,採取後續攻擊行動?目前尚無法證明,卻有民眾在誠品生活購買書籍後,直接接到詐騙集團來電,引起社會大眾嘩然,同為連鎖書店的博客來也曾在2022年發生駭客入侵事件,經由警方調查發現已洩漏超過3000件個資,更傳出實際財損破億元,損失甚鉅。

需限期完成!個資維護辦法之個資檔案安全維護計畫

為了提供企業維護個資的具體依循方向,包含製造業及技術服務、電商與第三方支付、百貨和零售業、交友服務業等產業別在內,皆制定了《個人資料檔案安全維護管理辦法》,此辦法規定限期內完成訂定「個人資料檔案安全維護計畫」,除了提供更詳細的法遵指引外,更期望企業配置充足資源,以落實個資安全維護,防止竊取、竄改、毀損、洩漏等情事。

個資維護辦法 守護蒐集來的個資
資料蒐集至企業後絕對不可疏於管理

蒐集行為

  • 向客戶、會員明確說明蒐集目的、使用範圍、資料保存期限,以及服務終止後的處理方式。
  • 務必獲得個資主人的同意。
  • 確保蒐集行為之透明性、合法公平。

內部管理程序

  • 界定資料範圍及項目,集中管理,避免分散企業管理能量。
  • 包含處理、存取、傳輸、備份和復原等管理程序。
    (延伸閱讀:事後復原、演練與優化:萬全的應變準備,讓資安事件不再成為營運難題
  • 以合法性與合規性的前提處理特殊類別個資。
  • 必要時針需對某些項目「去識別化」。
  • 法令規範資料需保存5年以上。
  • 製造業需定期固定清查個資筆數、界定計畫範圍,並維護其正確性,以利後續處理及利用。

資訊安全管理

人員管理

教育訓練

  • 使用個資之相關部門及人員,包括使用者、管理者、資訊人員,皆應定期接受資安宣導課程與專業人員訓練
  • 提高資安認知且落實個資保護政策,進而降低內部風險,加強組織整體合規性。

應變機制

事後通報

  • 應制定明確程序如72小時內通報主管機關、重訊發布、通知當事人等。
  • 流通速度飛快的百貨零售業與電商、第三方支付業者,需設置對外聯繫窗口,提供民眾洽詢或申訴。

一定會罰錢嗎?用個資維護辦法打造面對個資法的底氣

或許您會疑惑,個資法跟個資維護辦法有什麼不一樣?為什麼要分成兩個法規來看?事實上個資法已經施行已久,為了與時俱進而在今年進行修訂,但多數人對於法條仍是有看沒有懂,更遑論如何滿足合規需求,會不會已經做了最大的努力,卻還是被駭客攻破防線?除了賠償損失外,更要被政府機關罰上1500萬?

個資維護辦法依據個資法第27條第3項規定訂定而成,只要布建對應措施,即使突發個資外洩事件,主管機關也會評估影響層面,給予企業限期改善的機會,例如旋轉拍賣的個資外洩事件,主管機關調查完畢之後,確認其資安措施完整度尚可,也未導致重大影響,故僅要求旋轉拍賣限期改善,並無開罰。

各產業需在期限內因應 個資維護辦法
各產業需在期限內因應個資維護辦法

各產業別的個資維護辦法不盡相同,比如製造業以擁有的個資數量區分,達5000筆以上者需於6個月內制定「個人資料檔案安全維護計畫」,零售業則是規範資本額達新台幣1000萬元以上,有蒐集會員、用戶等個資的企業,而給予電商的限期較短,需於辦法施行後3個月內,也就是2023年底至2024年初完成規劃,主管機關將每年擬定行政檢查計畫,後續追蹤各行各業實踐個資保護的狀況。(延伸閱讀:【機敏資料管理】企業資料如何不外洩?資料保護措施重點有哪些?

AI科技的大躍進不僅產生了ChatGPT等實用工具,也給予了惡意程式、病毒軟體進化的力量,持續蓄力的駭客組織為取得最大利益,行徑越發猖獗,不再侷限於造成企業組織營運中斷的「小打小鬧」,進階目標將放在竊取最具價值的企業資料,而後勒索談判、要求贖金,創造黑色產業鏈的收入來源。

個資是最關乎廣大民眾的企業資料,所以大家重視個資的程度只會越來越高,針對個資法的規範也將更加嚴謹,期望透過警示企業、完善資安,守護個人資料權益。

※ 本篇內文三張圖片可用於不營利之商用、私用,來源標註「鼎新電腦」即可。
※ 素材圖源:梗圖倉庫