以「既期待又怕受傷害」來形容資安界對目前躺在立法院的電腦處理個人資料保護法(以下簡稱「個資法」)修正草案的心情,恐怕一點都不為過。畢竟,資安需要「花肥」,沒有法規強制,沒有企業老闆會願意花錢去做「眼前看不到回收利益」的事。
老闆:「請告訴我買資安產品或服務的急迫性需求在哪裡?這個資本投入預期的回收是什麼?不要告訴我空泛的道德利益,請給我實際的數字,OK?!」「罰錢?公司會計帳看看可不可以列一下,當作營業必要風險支出。」「拜託,我們這麼重視客戶,所以絕對不是從我們公司流出去的。…即使真是我們公司流出去的,那也一定是駭客入侵,我們公司也是受害人呢!」
反制被駭抗辯望行政檢查讓密室運作透光
上述場景,資訊從業人員應該都不陌生。而就算是有「強制性」的法律規範,老闆們還是會考慮這件事發生時「痛」的程度,和可以「逃」的程度。如果不痛不癢又很容易逃,企業主誰會真心投入資源做資安呢?
所以,這次個資法修正採「天價」般的重罰和對企業經營者/管理者「連坐罰」的策略,確實對企業主產生了不小的恫嚇效果。
但企業主真的因此就會重視客戶的個資了嗎?恐怕未必。一來,台灣企業型態以中小企業為主,出事了,換個負責人另起爐灶已是家常便飯(所以本法通過,真正需要擔心的是大企業和政府)。二來,除非公司內部有大嘴巴,不然民眾怎麼有辦法證明個資從哪裡外洩呢?時機歹歹,公司只要把「客戶的個人資料」列為「營業秘密」,祭出「營業秘密」的大刀,很少人能不為五斗米折腰吧。三來,我們仍應正視目前的資訊應用環境充滿風險,有些風險確實不是企業主單方可以掌控的事實。
是故,很多企業主出事上報的第一句話,通常都是援引外賊的「被駭抗辯」。是藉口?還是真的被害人?外人其實很難分辨。這應該是個資法修正草案設計「行政檢查權」,期望透過政府監督、讓公司內部運作的密室得以透光,並引進「團體訴訟」機制,結合眾人的力量與智慧來督促企業重視個資保護的重要考量。
從前述角度,很容易得知「行政檢查權」的設計與行使會是未來個人資料保護制度是否能成功的關鍵,檢查標準與檢查實施的結果甚至會成為未來左右司法訴訟結果的重要依據。但個資法嚷嚷到現在,不要說那個中央目的事業主管機關、直轄市或縣市政府長官,甚至是負責本法研議的法務部,都沒人可以出來告訴我們:作為企業主,老闆們該做到什麼程度才算「善盡善良管理人的注意義務」?(編註)作為老百姓,這個法案通過後對我們的生活究竟造成什麼影響?彷彿一切盡在不言中,法律通過後,大家自然而然就會知道並遵循?!從相關資訊至今仍闕如這一點,筆者判斷,個資法要出立法院大門到正式實施,勢必還有一段漫漫長路要走。
個資法通過後可能發生的情景
所以,個資法通過對我們到底會造成什麼影響?說實在話,在官方版「行政檢查權」制度還沒出來前,真沒人知道,而各行各業目前真正已有在做個資保護的,大概也只有銀行與金控體系。
1、 規範若不明 皮球滿天飛:個資法通過後,需要先進補習班的,是職司各行業管理的各部會,只是各部會長官會承認自己不懂這鍋東東嗎?再以台灣企業的「活潑」程度而言,主管機關若沒有明確指引或規範,企業當然不知如何遵循。所以「皮球滿天飛」是本法通過後第一個可預見的情景。
2、 填覆各式個資蒐集同意書:再來可以看到的情景是:民眾會接到一些電話或郵件通知,要求您填覆一些同意書,同意「xx公司可以跟xx公司交叉利用您的個資,以對您後續進行更好的服務」。讀者要注意,這些可能是詐騙,也可能真的是xx公司在履行法規要求,因為未來,除了法律有明文規定者外,民眾個資被蒐集與利用的最重要前提是「當事人的書面同意」。
3、 慎防假團體訴訟之名 行個資竊取之實:第三個可以猜到的狀況是:會有「好心的」檢察官、律師或民間團體打電話告訴您,您的個資被詐騙集團利用了,請您提供資料好一起打團體訴訟(要留意,也有可能是詐騙集團的伎倆);而民眾會被一個又一個的「資料外洩通知」嚇到沒感覺,因為「公務機關或非公務機關有違反本法規定致個資被竊取者,應查明後以適當方式通知當事人」。相信我,這些通知絕對不會來自公務機關,因為「我們公務機關絕對遵從政府規定善盡個資保護責任…本單位在xx年就通過資安認證」。
4、 標章真能發揮作用或只虛應故事:組織(企業)名片多了一個好寶寶標章(意指僅供參考,沒啥實際作用的logo)。據悉,因應個個資法通過後可能發生的情景,經濟部目前正在研議推動我國的「隱私標章」制度(因為不知道跟日本的P-mark是不是一樣,在此姑且名之)。這年頭,政府好像還蠻熱衷「推標章」:透過標章揭示的資訊,把一切選擇權回歸到民眾或消費者手上(剩下就不是政府的事了?)只是關心電子商務發展的讀者如果不健忘的話,應該還記得我們有個SOSA組織推動多年的「優良電子商店」標章。
加上政府資通安全會報近幾年力推的ISMS、ISO27001,經濟部工業局推動多年的智慧財產管理標章TIPS,請問這些標章之間的關連性為何?若都涉及企業內部資訊應用流程改造的話,這些標章彼此間能不能結合?畢竟,中小企業真的沒那麼多資源應付政府一個又一個的法規需求。如果不是虛應故事,這鍋標章推動後恐怕只有一種結局:企業的名片上多了一個logo,但實際上沒出事就沒出事,出了事,民眾求償反而可能更困難,因為企業會把這個標章抬出來,證明它已做了它可做的,而發標章的單位會說,標章只能證明該企業的資訊流符合當時的規範,不可能證明它是不是安全。
結論
這也是一開始筆者說資安界對個資法修正案是「既期待又怕受傷害」的原因:因為資安不等於個資;訴諸「個人資料保護」是因為它是每個民眾都可以瞭解並重視的客體。政府願意投入資源推個資管理制度,總比什麼都不做強,但不是推了標章,就做好了資安。畢竟我們面對的是正、邪都快速變化的風險環境。
最後我們來談談小老百姓碰到官司最核心的議題:要怎樣蒐證以打贏官司?這得看主管機關如何規劃並落實「行政檢查權」。依據修正草案不管內賊或外力入侵,當企業(包括政府)所持有個資有被竊取之虞,企業應以適當方式通知當事人(草案第12條)否則會面臨行政罰。事件發生後舉證責任在企業,所以只要我們有「認真負責」的行政機關民眾面對這類訴訟不需太費心;由於資安鑑識是很專門的科學,若有疑義建議請求送第三方專家鑑定即可。
本文作者為法律實務工作者