觀點

百廢待舉 個資法不能等:各行各業對個資法反應不一

2009 / 07 / 06
吳依恂
百廢待舉 個資法不能等:各行各業對個資法反應不一
個資法目的並不是為了要罰錢或處罰誰,其目的應該是要提醒及防範個資外洩的情事發生,並且提高各行各業對個資的重視。

  先知先覺:政府、醫療單位、金融、電信業-原本就受到一些外部法規要求或稽核,因此此類單位皆會表示持續推動資安工作,並靜待個資法進一步的細則頒布,乃至於是政府執行力道。

  後知後覺:電視購物、網路購物業者-因為許多同業受到資料外洩的威脅,而在近來有較大的安全防禦動作,也積極參與個資法的研討會,但因為該法還在修正當中,有許多細則與爭論點,開會的爭議點也大多圍繞在罰款金額與舉證責任,但沒有什麼定論。

  不知不覺:旅行業者、補教業者-前者坦承,在旅行業界,對個資法的了解並不多,但表示往後會努力了解、遵循,以及配合主管機關。而補習教育全國聯合會也提到,在前陣子國中基測外洩事件發生後,也受到教育部社教司的輔導與關注,儘管補教業表示知道個資法,但似乎沒有更進一步的動作,反應趨於迴避。

  儘管法律條文即將確立,但各主管機關之稽核人才或環境都尚未健全,對於如何執行,企業大都抱持著懷疑、觀望的態度。在法律條文細則的訂定上也有許多疑慮,在關心個資法的研討場合當中,大多對於實際面應該如何操作有諸多疑問,儘管不知不覺者的態度多為消極迴避,但積極關注者的疑惑亦無法獲得解答。對於生澀難懂的法律條文,許多沒有概念的中小企業或許不知從何做起,或可學習日本自律精神的標章P-Mark作法,將實作細則一一明定,審核通過之業者或可從做中學,並且符合法律條文的規範。

尚未關注 摸索前進的旅行業

  旅行商業同業公會秘書長許高慶說,在過去旅行業對個人隱私保護法的要求,多是以旅行業者要求員工簽署保密條款為主,但該作法也僅在規模較大的旅行社會被規範,對於中小型的旅行社則無強制約束。未來公會也會督促、輔導業者在員工任職之初便嚴格要求落實。許高慶也表示,以旅行業來說,個資法修正案尚未被廣泛的注意到,多還在瞭解摸索階段,當然也不乏聽都沒有聽過的業者。待修正法案通過後,未來也會擬請旅行業的主管機關觀光局,共同商討研究來為各旅行業進行輔導,公會也會協助宣導個資法保護的意識。

立意雖好 但諸多爭議

  中華無店面零售業協會秘書長蕭美麗提到,協會成員主要是電視購物業者、網路購經營者,以及經營電子商務網站的傳統零售業者。她說,在多次的研討會當中,大家一致認為,政府應多管齊下,與兩岸進行聯合防範,並且也要加強對全民宣導安全的觀念,否則單靠業者負擔個資外洩風險是相當不適當的,除此之外現在也缺乏完整的規範,業者對於罰款的比例也是諸多爭議。

分作管理及系統2個面向管制

  MoMo TV表示該公司一直對客戶資料保護都非常重視,非因個資法通過才處理,故因而產生的設備及人力費用不會因此而有增加。且目前資料安全管控可分管理面及資訊系統兩個面向做管制,於資訊系統而言操作人員無法用任何方式將相關資料帶離公司。此外亦成立相關資安小組隨時進行安全監控,對委外廠商則皆不提供相關個資資料。

國家競爭力 取決政府執行力

  亞太信息總經理劉守元針則是認為,重要的是政府的執力如何?過去已經有個資法,如今雖然是擴大,並且有些改變,但關鍵在於政府會如何執行?還是如同過去一樣只是頒布法令而已?以國外案例,如香港、日本來看,由於政府確實執行,安全產業也才有商機。甚至有些企業也坦承,現在就等法令過後看政府會如何執行,才決定要花費建置到什麼程度。

  的確過去一段時間似乎有一些企業針對個資法在詢問,但也只是一點點而已,坦言說,這個月受到經濟層面影響又跌下來。企業似乎變得有些麻木,大家都做做表面工夫,規避的心態還是很重,尤其是引進資料庫安全的人員,將要擔負很重大的責任,因此大家都寧願迴避。

平時便需注重個資保護宣導與推廣

  負責統整台大醫院資訊系統的台大醫院副院長賴飛羆,認為個資法的通過使得責任機關所負的法律責任更為重大,因此機關對資訊安全工作所投入的人力與成本都將更為增加。也因此,對新法實施後之資料公開使用規則及委外廠商關係更要更為謹慎,才能免於洩露病人隱私與對當事人權益無侵害之虞。他表示,台大醫院系統多由自行建置,極少外包,只有諸如醫療影像儲存與傳輸系統(PACS, Picture Archiving and Communication System )這類較為成熟的系統才會委外。

  他提到,就醫院的狀況來說,個資的洩漏多為VIP病人的敏感資料,常常是媒體、狗仔隊競相挖掘的目標,因此抵禦外部入侵的資安基礎架構和網路安全通常是醫院最基本的要求。而針對內部人員的控管,台大醫院也透過身分識別與存取管理、日誌與監控機制、應用程式安全、資料保護技術與安全治理等方式,來保護病人個資。

  他說,台大醫院原本便設有病歷室,但隨著時代演進,病歷資訊也逐漸由紙本改變成電子化的形式,病歷室也改為病歷資訊管理室,該單位與資訊室平行,主要由具有醫療背景之人員擔任,在建置電子病例的工作上,負起醫師與資訊人員間溝通的橋樑。除此之外,也負責管理與保護病歷資料,賴飛羆的桌上甚至還放了「小密封叮嚀卡」,這是病歷資訊管理室在院內所推動的活動之一,提醒醫院的工作同仁要保護病人個資,如「教學研究用之病歷資料要除去可識別個人身分的資料」、「要規範合作廠商,謹守隱私保護規定」以及「未取得病人同意,不將其病歷資料透露給第三者」等,可見在台大醫院內平時便注重個資保護意識的宣導與推廣。

  賴飛羆表示,法律的制定應從合情合理的角度來思考,個資法的目的並不是為了要罰錢或處罰資訊人員,所以用過於嚴格的標準,如罰款上限設得過高。來要求反而無法達到效果,其目的應是要提醒及防範個資外洩的情事發生。因此立法單位也應該要積極制定一些標準程序,或將資料外洩之人員處以刑責。目前台大醫院資訊室正在進行ISMS的建置與取得ISO 27001的認證作業,因應著個資法即將通過,希望能更加落實資安工作。而他也認為,在法律條文通過之後,未來也應該要考慮在內部設立資安稽核專職人員,以檢視各項管理制度落實的情況,也能夠處理應變個資外洩的狀況產生,形成一個危機應變的作業機制。

資安從流程作業規範開始

  ViVa TV為中國信託創投的中購媒體科技公司所經營的電視購物公司,為台灣目前三大電視購物之一。自95年開台以來,對資訊安全一直相當關注的ViVa TV,對於即將通過的個資法也與其他電視購物業、網路購物業一樣相當關心該議題。不過,ViVa TV資訊部資深協理趙明川認為,在各方面的細則還沒有出來之前,業者大多還是不會輕舉妄動,但會按照原本的資安推動計畫繼續前進。

  趙明川提到,其實主管機關經濟部商業司也常會來文通知,前往參加因應個資法的研討會,但幾次下來,發現大家往往都在同一些問題上打轉,像是個資法適用的範圍、執行方式、罰款金額等,大家的聲音很多樣但也沒有一個定論,一切都在等待施行細則的擬定。

  而過去鬧得沸沸揚揚的東森購物個資外洩案,的確持續的在電視購物業發酵。趙明川說,ViVa TV的電話中心為接觸客戶資料的第一線,因此 也做了嚴格的權責分工,在接觸到客戶資料的單位,僅限開放該業務所需之職務權限。例如信用卡子遮罩,負責接受訂單的電話中心人員僅能看見部分信用卡號而非全部。

  趙明川認為個資法之所以被迫切需要,是因為個資外洩事件早已不是資訊安全問題範疇,而是一個社會現象的問題,電視購物業者也應該要準備好整套流程機制,像是設定客戶機密資料的標準作業程序(SOP)。例如客戶的姓名、住址、電話等隱私資料在處理上,僅限某個業務單位能接觸,其他部門皆不可接觸。更私密的資料,如付款流程裡面的信用卡處理,僅有財務單位可以取得授權,也僅有負責之財務人員才能接觸到這樣的行為,在系統面也會嚴謹限制,僅有在處理授權流程時,才能看見資料等。

  另外,電視購物必須與倉儲業者、宅配物流配合,一般來說前者接觸到的是商品種類、顧客姓名及住址,而後者則僅有姓名及住址,從系統面來說,與委外業者的資料交換是走網路安全連線的保護來達到目的,ViVa TV之作業客服部單位目前也積極與倉儲、物流業配合,共同召開會議討論,彼此協議在內部流程作業規範尚需嚴格遵守,不過目前對於如何進行委外廠商的稽核,目前尚未有定論,趙明川說,ViVa TV傾向於在與顧問公司討論過制度面改善的問題,才能一併檢視、檢討內外流程,由於這會牽涉到日常業務進行,所以也必須經過專案執行前置評估,才會有更進一步的動作。

  ViVa TV自今年5月以來,便成立資安委員會,由行政管理部來主導,開始積極進行一連串的資安推動工作,首先是在制度面上的規劃,定義客戶私密資料、資料庫欄位等,在作業流程中去檢討、訪談,檢討哪些行為會產生個資外洩的威脅,再進行業務系統的改善,加強權限控管,並且透過一些記錄管控軟體來進行監控、警示,趙明川說,目前正在局部的電話中心(Call Center)進行端點資安軟體的試運,不僅不允許網路連接、也無法進行列印的動作,並且也嚴格規範客服人員不能攜帶紙筆進入工作領域,努力做到在客戶個人資料上的保護。