觀點

2009企盼資安曙光再現:補習班、電子商務業者指定適用個資法

2009 / 07 / 13
張維君
2009企盼資安曙光再現:補習班、電子商務業者指定適用個資法

在新版個資法尚未通過前,文理補習班、電子商務業者將被優先指定適用現行個資法。

  日前18名向博客來網站購買金馬影展套票而遭外洩個資的受害者,在共同對博客來提起民事訴訟後,法官認定其確實有業務處理疏失且侵害隱私權,判賠每位被害人7,000至17,400元不等的罰金。雖然此案例博客來不適用現行個資法,原告無
法依個資法求償,但證明了現在社會大眾對個人隱私資料保護的重視已有提升,也連帶把電子商務業者推向個資法遵循之列。

推動立法不易

  許多法令總是在問題事件發生後,成為鎂光燈焦點,才容易推動立法,個資法也不例外。當初因為詐騙事件太多,嚴重影響治安,造成許多社會事件。因此法務部制定個資法修正案後立法院很快就通過一讀,但接下來適逢3月總統大選又延後,以及遇到立委爆料需求等問題,部分條文未獲得共識,朝野協商至今。

  包括對於賠償上限金額的討論也成為爭論焦點,眾多版本從5,000萬至10億元
不等。法務部法律事務司司長張清雲表示,賠償總額上限訂定的目的是為了要達到警惕的作用而非要使資料蒐集業者倒閉,10億元的賠償上限乍聽之下很嚇人,但若以每筆罰500元來平均,總計共要外洩200萬筆個資才會被罰到上限,而全台擁有200萬筆消費者個資的單位,應屬大型規模組織。擁有越多個資的機構本來就更應善盡保管責任。

特殊事業團體先指定適用

  法案通過至正式生效,還會經歷約半年至1.5年的政令宣導期,同時是讓各事業目的主管機關去就該產業的個資保護特殊性擬定配套執行方案,由於各主管機關較了解所轄公司行號蒐集資料的各種管道。談到未來個資保護政策推動的工作時,張清雲表示,最終目的希望能在行政院底下設立個資隱私保護委員會,並在各事業目的主管機關成立任務小組,能由固定的任務編組來長期推動個資保護工作。

  然而在現階段,個資法還沒正式通過前,法務部也積極將目前對社會層面影響較大,個資外洩風險較高的行業先納入現行個資法規範中。除了法定八大行業之外,有10個事業、團體已被指定適用。法務部與該行業所屬事業主管機關取得共識後,就先指定適用現行個資法。包括2008年8月已經公告的文理補習班(語文除外)已確定於2009年1月1日開始適用,教育部也已訂定並公告「短期補習班電腦處理個人資料管理辦法」(草案),其中第14條列出明確的個人資料檔案安全維護計畫標準。而日前層出不窮的電子商務平台外洩個資事件,法務部則與其主管機關經濟部密切協商中,將來此類無實體店面零售業者若納入個資法,包括電視購物、網路購物等線上交易商店等都會受規範。網拍、網購業者得加強個資保護,抓住消費者在這波不景氣下增加線上消費的需求。

  張清雲也語重心長地說,司法工作是社會正義的核心,除了立法之外,法治教育是更重要的事。立法是能懲罰犯罪者維持社會正義,但同時也要加強法治教育,才能嚇阻犯罪在事件發生之前。

短期補習班個資檔案安全 維護計畫標準

第十四條 短期補習班保有個人資料檔案者,應依本條第二項訂定個人資料檔案安全維護計畫並指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
個人資料檔案安全維護計畫標準如下:

一、資料安全方面

1. 個人資料檔案之存取,應釐定使用範圍及使用權限,並設置使用者代碼、識別密碼。識別密碼應妥善保存及視需要更新,不得與他人共用,並應制作存取記錄。

2. 個人資料檔案應定期拷貝,並由專人保管。

3. 個人資料檔案使用完畢即應退出應用程式,不得留置在電腦終端機上。

二、資料稽核方面

1. 應建立個人資料檔案稽核制度,指定專人定期或不定期稽核個人資料檔案管理情形。

2. 以電腦處理個人資料時,應核對個人資料之輸入、輸出、編輯或更正是否與原檔案相符。

3. 實施稽核人員,得調閱有關資料,並請作業人員提供說明。

三、設備管理方面

1. 應指定專人負責管理個人資料檔案之主機、週邊設備及相關設施等電腦設備,並應加強天然災害、其他意外及外部系統入侵之安全防護措施。

2. 應建立備援制度,對於需要永久保留或重要檔案之備份媒體,應有異地存放、專用防火或保險設備等措施。

3. 更新或維修電腦設備時,應指定專人在場,確保個人資料之安全及防止個人資料外洩。

4. 電腦設備報廢或不使用時,應確實刪除電腦硬體設備中所儲存之個人資料檔案,如透過重新格式化等方法。

四、其他安全維護事項

1. 以電腦處理個人資料檔案之人員,其職務有異動時,應將所保管之媒體及有關資料列冊移交。接辦人員應另行設定密碼,以利管理。

2. 遵守一般電腦安全維護之有關規定。