個資維護辦法是什麼?人們較為熟知與之息息相關的《個人資料保護法》,在2023年5月由立法院三讀通過修正案,除了大幅增修罰鍰金額,以提升企業對於個資保護的重視度外,也將成立「個資保護委員會」,運用主管機關之獨立監督機制,強化個資保護力量。
那麼,被稱作「打詐五法」之一的個資法訂立了相關規範及罰則,企業該怎麼做才能合規呢?也許您需要一份範本、一份指引--個資維護辦法便誕生了。
個資又外洩!應落實資安維護用戶權益
個資外洩不一定會立即釀成財產損害,但當資料透過無遠弗屆的網路販賣流通,極有可能被歹人利用,發展成詐騙、社交工程攻擊等事件,後果不堪設想。因此,個資外洩可以算是距離市井小民最近的資安事件,光是2023年初就有共享汽機車平台iRent、微風集團、蝦皮與誠品生活等各行各業,連袂爆發個資洩漏疑慮,無法保障人民的資訊隱私權,不僅違反了《憲法》第22條,也導致社會大眾人心惶惶。
門戶大開代表:iRent、Line Pay
資安措施若未完善,防禦效果近似於無?iRent就是打開自家大門的代表性例子,其暫存資料庫未妥善阻擋外部連線,造成外人可以隨意登入查詢的防護性缺口,客戶個資形同攤在網路世界的陽光之下,無所遁形。
而Line Pay也在2021年9月,誤將台灣用戶的行銷活動資料上傳至GitHub,察覺不對勁時已有外部瀏覽紀錄,估計損及逾7萬人的權益。
駭客入侵代表:微風集團
勒索軟體猖獗的世代,或許難以逃離駭客的魔掌。縱使微風集團在收到勒索情資後,第一時間啟動了資安應變措施,清查後也確認所謂的外流資料與內部資料並不完全相同,然而駭客論壇Breach Forums聲稱竊取資料庫會員機敏資料,在微風集團消費過的民眾們無不擔心自身個資安全。(延伸閱讀:加密病毒超兇!不被勒索的自救祕方大分享)
網拍釣魚代表:蝦皮、旋轉拍賣
電子商務發展至今已是千變萬化,且入門門檻較低,許多斜槓青年皆可從零做起,但也容易在擴展業務的過程中忽略了資安疑慮,含括商城與個人賣家的蝦皮購物,以及主攻二手物品賣場的旋轉拍賣,都在2023年被駭客鎖定發起釣魚攻擊,盜取大量個資,其中蝦皮更在高風險賣場之排名中打敗其他電商品牌,躍為首位,後因資安防護措施未改善而遭罰20萬元。(延伸閱讀:萬事皆可AI 如何用資訊管理工具盯資安)
接到詐騙代表:誠品、博客來
駭客組織是否已拿到上述洩漏事件之個資,採取後續攻擊行動?目前尚無法證明,卻有民眾在誠品生活購買書籍後,直接接到詐騙集團來電,引起社會大眾嘩然,同為連鎖書店的博客來也曾在2022年發生駭客入侵事件,經由警方調查發現已洩漏超過3000件個資,更傳出實際財損破億元,損失甚鉅。
需限期完成!個資維護辦法之個資檔案安全維護計畫
為了提供企業維護個資的具體依循方向,包含製造業及技術服務、電商與第三方支付、百貨和零售業、交友服務業等產業別在內,皆制定了《個人資料檔案安全維護管理辦法》,此辦法規定限期內完成訂定「個人資料檔案安全維護計畫」,除了提供更詳細的法遵指引外,更期望企業配置充足資源,以落實個資安全維護,防止竊取、竄改、毀損、洩漏等情事。
蒐集行為
- 向客戶、會員明確說明蒐集目的、使用範圍、資料保存期限,以及服務終止後的處理方式。
- 務必獲得個資主人的同意。
- 確保蒐集行為之透明性、合法公平。
內部管理程序
- 界定資料範圍及項目,集中管理,避免分散企業管理能量。
- 包含處理、存取、傳輸、備份和復原等管理程序。
- 以合法性與合規性的前提處理特殊類別個資。
- 必要時針需對某些項目「去識別化」。
- 法令規範資料需保存5年以上。
- 製造業需定期固定清查個資筆數、界定計畫範圍,並維護其正確性,以利後續處理及利用。
資訊安全管理
- 存放(含備份)之場域、伺服器與傳輸過程中,導入存取控制、加密、防火牆、機房管控等資安機制。
- 定期執行弱點掃描、修補漏洞、風險評估和災害演練等資安措施。(延伸閱讀:資安策略再精進 您要知道的定期稽核與風險評估)
- 保留使用軌跡、處理及利用個資的相關紀錄,用於日後調閱查證所需。
人員管理
- 經手個資的人員應簽訂保密協定,知悉個資利用相關事宜。
- 明定零售業之個資安全計畫專責人員,與資料安全查核人員不可為同一人,避免舞弊情況。
教育訓練
- 使用個資之相關部門及人員,包括使用者、管理者、資訊人員,皆應定期接受資安宣導課程與專業人員訓練。
- 提高資安認知且落實個資保護政策,進而降低內部風險,加強組織整體合規性。
應變機制
- 建立相關應變措施,在最快的時間內遏止資料外洩災害蔓延。
- 查明事故發生原因及損害狀況,最大化降低各方損失。
事後通報
- 應制定明確程序如72小時內通報主管機關、重訊發布、通知當事人等。
- 流通速度飛快的百貨零售業與電商、第三方支付業者,需設置對外聯繫窗口,提供民眾洽詢或申訴。
一定會罰錢嗎?用個資維護辦法打造面對個資法的底氣
或許您會疑惑,個資法跟個資維護辦法有什麼不一樣?為什麼要分成兩個法規來看?事實上個資法已經施行已久,為了與時俱進而在今年進行修訂,但多數人對於法條仍是有看沒有懂,更遑論如何滿足合規需求,會不會已經做了最大的努力,卻還是被駭客攻破防線?除了賠償損失外,更要被政府機關罰上1500萬?
個資維護辦法依據個資法第27條第3項規定訂定而成,只要布建對應措施,即使突發個資外洩事件,主管機關也會評估影響層面,給予企業限期改善的機會,例如旋轉拍賣的個資外洩事件,主管機關調查完畢之後,確認其資安措施完整度尚可,也未導致重大影響,故僅要求旋轉拍賣限期改善,並無開罰。
各產業別的個資維護辦法不盡相同,比如製造業以擁有的個資數量區分,達5000筆以上者需於6個月內制定「個人資料檔案安全維護計畫」,零售業則是規範資本額達新台幣1000萬元以上,有蒐集會員、用戶等個資的企業,而給予電商的限期較短,需於辦法施行後3個月內,也就是2023年底至2024年初完成規劃,主管機關將每年擬定行政檢查計畫,後續追蹤各行各業實踐個資保護的狀況。
AI科技的大躍進不僅產生了ChatGPT等實用工具,也給予了惡意程式、病毒軟體進化的力量,持續蓄力的駭客組織為取得最大利益,行徑越發猖獗,不再侷限於造成企業組織營運中斷的「小打小鬧」,進階目標將放在竊取最具價值的企業資料,而後勒索談判、要求贖金,創造黑色產業鏈的收入來源。
個資是最關乎廣大民眾的企業資料,所以大家重視個資的程度只會越來越高,針對個資法的規範也將更加嚴謹,期望透過警示企業、完善資安,守護個人資料權益。
※ 本篇內文三張圖片可用於不營利之商用、私用,來源標註「鼎新電腦」即可。
※ 素材圖源:梗圖倉庫。
