觀點

全民監督個人資料保護

2004 / 09 / 07
徐國祥
全民監督個人資料保護

行動電信業個人資料保護稽查始末
電腦處理個人資料保護法(簡稱,個資法)是由法務部在民國84年所制定,目的是規範電腦處理個人資料、保障個人隱私權、避免人格權受侵害及促進個人資料之合理利用。該法乃針對資料蒐集、電腦處理及利用個人資料的公務機關及非公務機關作規範,而非公務機關是將徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八大行業納入規範。目前法務部提報行政院審議中之「個人資料保護法草案」,已將所有公司、法人團體及個人等只要涉及蒐集、處理及利用個人資料均納入規範,不再以電腦處理和紙本撰寫的個人資料為限,所以未來個人資料的保護將更周延。

從89年起,電信總局即主動要求電信事業落實客戶資料保護工作,每年3、9月會要求業者自行提報其電腦處理個人資料保護工作之辦理情形,91年9月更依據個資法相關條文規定,擬訂「電信事業配合電腦處理個人資料保護法辦理情形自評表」及複評表,將個人資料保護事項以表列方式列出,並提示相關法令依據。林慶恆指出,執行方式會請業者就辦理情形先行自評,重點項目包括:委託或受委託處理個人資料、個人資料蒐集或電腦處理、資料特定目的外之利用、個人資料檔案安全維護事項、加強個人資料保護等措施。

台哥大領先,遠傳待努力
93年度複評作業已於6月18日完成評分,整體而言以台灣大哥大、東信電訊兩家公司表現較佳,而遠傳電信的成績殿後,但都仍有需要努力的空間。林慶恆表示,電信總局歷年來辦理此項評核對象原本都會包含固網、行動電話等業者,然而,有鑒於行動電話客戶總數已超越固網用戶數,且其客戶資料出入的管道也較繁雜,稍有不慎即容易發生管理上之漏洞,因此電信總局於今年度起特別僅針對經營行動電話業務的遠傳電信、和信電訊、泛亞電信、中華電信、大眾電信、台灣大哥大及東信電訊等7家電信事業進行評核,各家電信業者對於個人資料保護辦理情形的複評考核也都十分重視。

根據複評結果顯示,業者不僅對於電信總局於92年度辦理複評的缺失已提出改善措施,對於客戶個人資料保護的內控機制也漸趨完備,故今年發生的「蕭榮祥個人資料盜賣案」,就是透過電信事業的內控稽核機制,發現員工有不當查閱用戶資料之事,因而主動移請檢、警擴大偵辦而破此案。

林慶恆重申,此次複評工作的實施是電信總局例行年度工作,並非針對個人資料外洩案才特別專案進行的,未來電信總局將為已實施5年的評核工作加強建立標準作業程序,以強化不定期查核電信業者之機制,另外也將配合行政院消費者保護協會做不定時查核,進而促請業者改善,值得注意的是,客戶個人資料的委外作業將列為此次複評之查核重點,藉以防杜業者委外通路所持有之用戶個人資料洩漏。

業者自評後、電信總局實地複評
林慶恆表示,查核過程依標準作業規範內容由業者提出實施報告及佐證資料(包括標準作業規範、管控程序、落實執行表單等報告),再由電信總局組成之評審人員會同電信業者進行現場答詢及提供改善建議,以判斷業者是否達到要求,當然也會至機房、營業櫃檯及委託業務櫃檯等作業現場進行實地檢查。

評分方式如何讓人不會產生公正的質疑呢?林慶恆強調,為了讓業者與消費者知道評分高低的原委,每位評審人員對於所給的評分都必須記錄其完整理由,做為評分備查之證明,因此可以有效佐證為何會有如此評分結果。也由於各評核項目有權重不同的情況發生,為了公平起見,電信總局不會對每項的評分結果作分數加總,而是針對個別項目做優、劣認定。

有進步但改善空間仍大
個人資料保護評鑑的主要重點包括︰資料處理機房管制、委外作業廠商控管(催帳、印製帳單、維修廠商)、營業窗口及客服窗口終端機管制、公司部門管理等,尤其促請業者重視用戶個人資料保護的教育訓練及宣導頗具成效,業者與員工及委託廠商均簽有保密合約,甚至於合約中明訂洩密之罰責,實務上亦不乏電信從業人員因違反電信公司個人資料保密規定被免職之案例,如和信高層就嚴格規定,只要員工有洩露客戶資料之情況就予以免職。目前電信業者對於個人資料的保護已經有長足進步,但仍有改善的空間,林慶恆就認為:「造成評鑑等級的不同,軟、硬體設備好、壞對業者並不是最大差異點,『人』的因素才是重大關鍵所在,因為『人』比較難以管控。」以下內容將就總體評鑑的優點、缺失做歸納,對於有待改善項目將做更深入探討

*主要優點為:

一、業者內部內控機制發揮效用,不避諱公司形象受損,主動向檢警機關舉發員工疑不法案件,並積極配合查緝不法。

二、已訂定委外廠商篩選標準及事後稽核程序,對於委外部門之稽核,已將個人資料保護措施列為重點項目,定時及不定時稽核。

三、調閱機關調閱通信紀錄之受理人員及資料查詢人員分開控管,人員輪調;公文及查詢單列管,紀錄完整,作業流程完備;調閱複製本均夾帶浮水印,以防資料外洩。

四、系統自動將登錄帳號及使用指令記錄於檢核系統之資料庫,且由不同之管理人員負責,定期查核,以達監控之目的。

其餘優點尚包括有:在客戶辨識方面,採多重身分認證方式,非本人調閱通聯紀錄,以電話回撥確認身份;對於系統要求,除了重要密碼採取兩段式分法,分別持有保管和輸入才可進入系統外,更加強資料存取多重管控、資料備份、異地備援及緊急應變計畫等;而公司內部不安裝磁碟機、印表機、不准使用USB、硬碟等,就是要防止員工把資料外洩出去;最後,受委託公司新進員工必須簽署保密協議書,且訂定罰責及賠償金額,達到有效嚇阻。

*至於有待改進之事項說明如下:

一、電信事業與員工、委外業務公司必須簽定保密合約,應明定資料洩露之單筆賠償金,例如洩漏一筆五百元,一萬筆達五百萬元,以墊高犯罪成本,才能對資料外洩產生遏止效果。(目前「個資法」處罰的最高額度為2500萬,未來罰款金額擬將提高至5000萬。)

二、電信事業應對造成資料外洩之員工除予嚴懲外,應追究民事賠償責任,其直接主管亦應負行政監督不力之責任,加強遏止不法,以免事件再發生。

三、電信事業營業部門及客戶服務部門主管應定期稽核查詢紀錄檔,注意員工素行是否異樣,業者更應積極研究發展來電查詢資料與實際查詢電腦資料是否異常之自動警示功能,提升內部稽核功能,防患於未然。(以中華電信的案子為例,就是因為主管注意到員工的異常行為,經調查後知其有不法行為,而提早予以革職,才不致造成內部資料的外洩。)

四、加強營業部門及客戶服務部門基層主管之個人資料保護教育,藉辦理觀摩會方式,對有關個人資料保護之優良案例及曾發生之缺失檢討,透過心得交流及傳承經驗,訂定標準作業及管理流程,提高警覺性及防範不法,以增進第一線主管處理能力。

五、稽核部門每年應訂定稽核計畫、稽核程序、稽查項目,增強稽核訓練,培訓稽核人才,對個人資料保護稽核應設專人管理,辦理各單位個人資料保護工作考評,獎懲分明,喚醒員工增強個人資料保護意識。另亦可藉由外部稽核(例如申請BS7799認證)以激勵完備個人資料保護措施。(林慶恆表示,造成管理不足原因大多由於公司的稽核分散於不同部門,這樣容易形成多頭馬車的狀況,並不是員工查核訓練不足所導致。)

六、對資訊部門擁有高權限直接接觸核心大量個人資料之資料庫管理、系統管理者等人員,除權限分立制衡,升遷該職務之人員,宜增列操守調查。

七、對權限最高之系統工程師、系統程式開發工程師、系統分析師、系統資料庫管理師具有密碼必須採兩段方式,分別持有保管,須申請拆開密碼信封,並分別輸入密碼才可進入系統操作功能,管控要嚴謹。

八、調閱機關緊急傳真調閱通信紀錄應依調閱通信紀錄規定,除查核傳真號碼正確性,正式公文應三日內補寄,追蹤統計列管,逾期經要求而不補正者,應主動向調閱機關之上級機關舉發。

九、對委外門市部或通信行所留存第四聯個人資料應以業務上需要,以最少資料為原則(例如僅留電話號碼、姓名前二字及不完整地址等資料),委外門市部或通信行之資料存放需上鎖。

十、客戶申請通話明細之寄送應加強保護措施,避免個人資料外露,最好是用掛號方式寄送。(林慶恆表示,應確實以掛號方式送達,才能保證資料不外露。)

落實稽核才能長治久安
電信總局對業者評鑑目的是希望藉由實際查核發現缺失,以提供業者改善意見,督促業者建立及落實資料保護管理機制,期能「事前」建立完備的個人資料隱私政策、作業規定、標準作業程序;「事中」落實執行、表單及紀錄完整;「事後」定期及不定期稽核,發現缺失,防患未然。將個人資料保護觀念變成一種習慣及公司文化,賞罰分明。

以泛亞電信為例,上個年度高居第一,今年成績沒那麼理想,這表示制度的建立需要時時注意,只要一鬆懈可能就下滑;另外一個值得注意的現象,就是內部人員流動性大,也代表制度的落實較難持續。畢竟,安全沒有百分之百的,行動電話業者雖已普遍建立完備的個人資料保護機制,但是是否落實,關鍵還是「人」的問題,只有不斷地加強人員的教育訓練與宣導,才能作好個人資料保護工作。 林慶恆再三強調,電信業者評鑑優、劣的差別,主要在於業者內部是否做到加強員工觀念、教育訓練能否達到效果等,所以建議業者必須設立專人查核單位,其職權最好不低於副總級,而對於主管保護資料的觀念也需強化,否則將導致洩密案件一再發生。

後記
面對日益猖獗的電話詐騙事件,林慶恆誠摯呼籲,電信業者對內不但要加強對內部員工的管控,在業務上也僅能給特定事件所需資料即可,因為客戶資料就是業者最重要的資產;對消費者來說,要時時有保護自身資料的意識,如遇市調、贈獎活動等狀況時,盡量以留最少(或不足以識別)為原則,否則個人資料將極容易為犯罪集團所利用。