觀點

資料外洩控管 企業可先評估易錯熱點以自保

2009 / 10 / 05
魏紜鈴
資料外洩控管 企業可先評估易錯熱點以自保

個資法草案二讀通過,條文規範加重刑法責任擴大了適用範圍,進而大幅提升企業責任內涵。這次修法看似大幅提升法律規範,但實際上國內針對隱私保護的法規不只個資法,在刑法第318-1&318-2條(洩密之處罰),無故洩漏因利用電腦或其他相關設備知悉或持有他人之秘密者,屬公訴罪,早有明文規定。此現象突顯,即使規章條例已出鞘,能夠劍及履及、理解運用自保的前瞻者依舊很少!

 

在談個資外洩或是隱私保護法規時,我們必先檢視資料的移動過程,發現的確資料容易在業務活動、交易處理活動、委外單位等過程中,無形造成資料外洩的環境。如何在此環境中,找出容易出差錯的位置(熱區-Hot Zone),是企業主在被動等待完善法規訂立之外,可以積極努力應變機制的目標。

 

以上中下游來比喻,法律條文的規範設定,隱私保護組織政策屬謂為上游的條文規範,生硬而無法有效規範執行。中游屬資料處理流程,佈建管控措施增設監控工具,或產生作為證據的資料則是企業可妥善積極應用的作法。

 

勤業眾信會計師事務所企業風險經理顏美惠分析,以金融業運作為例,企業可先針對營運流程分析,檢視客戶紙本或電腦資料的流向,再從中判斷分析流經過程會經過哪些人?哪些地點?評估周邊單位有無風險?在整個單位內資料處理的流程活動中,找出個人資料外洩最容易出差錯的Hot Zone,針對這些易出錯的環節,企業以不影響員工行為習慣為原則,部署控管監控。

 

最後的下游,企業內部控管不僅要考量職能分析,例:管帳者沒有資格管錢,開設權限必須視職能需求,檢視個人職能負責範圍來開放權限。在企業內部系統開發過程,若因系統程式本身就沒有寫好開發過程,是否有足夠能力妥善防範個資外洩,也在檢視熱點的重點範疇內。

 

換言之,法律規範政策雖能展現員工對法令遵循的日常責任,但組織內部管理責任,確保隱私保護的實施是相對易被檢視和可以執行應用的中下游,在此提出具體承諾、金錢與設備,企業也必定付出相對較多的控管成本,針對Hot Zone做控管,可鎖定目標問題,積極降低資料外洩風險。