觀點

個資檔案安全維護計畫—金融業 新舊版本或有不少差異 銀行應及早因應

2011 / 12 / 26
吳依恂
個資檔案安全維護計畫—金融業  新舊版本或有不少差異  銀行應及早因應

撰文之時,個資法施行細則草案恰巧開始進行預告,其修正重點當然亦會影響各產業的個資檔案安全維護計畫,本文便針對金融業來進行相關探討,新舊個資檔案安全維護計畫差異為何,各家銀行又該如何因應。

細則草案已公告 還沒作的銀行腳步要加快

根據業內人士觀察,目前台灣的金融機構,針對個資法的因應態度多是正面因應,無論規模或大或小,都是採取負責面對的態度。這當中,動作快的單位便已指派部門的協理或副總來處理,甚至形成任務編組,有專責組織、專門小組進行研議、動作。像是比較先知先覺的大型金控平常已經做了不少管控的金融機構,皆會透過此次機會順便做體質強化,而不僅僅只是為了因應個資法。多半具有策略意味,例如有的是在網路銀行的使用比例高就強化網銀,或是在建置子公司時就強化資料交換、跨境交易,例如已有香港、中國分行。

而就算是動作較慢的單位,尚在徵詢意見、觀望同業可參詢之處,而即使是這樣,也已至少知道要做什麼事情,差別只在還在編預算、考量找顧問協助導入或者自己進行個資盤點、風險評鑑。而雖然ISO 27001與個資保護的關係是間接的,在理論上對個資的保護或許尚且不足,但對一些資訊安全強度不深的金融機構來說,導入國際資安驗證標準已是踏出個資保護的第一步。由於個資管理系統要動員的部門太多,幾乎是全行參與,這些金融機構或許可循序漸近,從資安管理制度先做起。

如今細則草案已經公告,便待各界審視內容與討論,仍有申訴與修正的空間,不過法務部也希望能在年底前交由行政院審查。至此看來,大原則亦不會有太大變動。業內人士認為,一個專業的人看到細則、做過風險評鑑,就應該多少知道,如何在邏輯上大概滿足細則。如今,並不是探討做多少的問題,而是到了一定得做的階段。

沒有兩年做不完 業務型態決定複雜程度

目前已經開始在動員的金融單位,比較多的問題是怕來不及,個資法的細則與本法,其實已經有很多不用問就知道一定要做的事,可以先做。許多銀行表示,在等細則公告一直到實施日之間,預估若沒有兩年時間是做不完的,例如說個資盤點與風險評鑑。至於為什麼一定要盤點?以某大型金控的經驗為例,決定進行前也參照了其他國家及主管機關意見,而大家都一致認定,既然要對個資進行管理就一定要有標的,所以一定要進行盤點。

業內人士表示,其實這跟銀行大小無關,主要反而是跟產品類型的多寡有關,業務產品若單純,銀行大反而單純。麻雀雖小,若五臟很全的話,情況仍會很複雜。假設該行有多種金融服務,哪怕是客戶少,但每個服務項目都有個資,只要跟客戶有契約關係,從開戶到使用商品服務,當中有很多業務流程會有資料傳遞的問題。例如過去就曾有中型銀行認為客戶數只有大型銀行的2/3,因此可以少花點工夫,結果在實務經驗上做起來卻比大型銀行還複雜,這端看產品或服務類型,就算是在同一個客戶身上,同時有3、4種業務的服務使用(如信用卡、現金卡、電子金融服務…等),其個資的使用形式與內涵就會有不同的權利和義務,亦有不同的適應法規。

專案小組應由誰主導?個資最多者優先。

儘管大家都體認到個資因應是一定要做的,但哪個部門是主導機關呢?其實這正是花去最多協調時間的部分。例如目前在不同的金控機構裡面,主導個資管理小組的差異就很大,從徵信部門、債權管理部門(信用卡發卡少,最多個資在欠款單位)、風管部門、IT部門到法務部門都有。多半是以哪個部門擁有最多個資就為主導部門,而難以辨別的則歸到法務。而目前也可以看出一股潮流是,無論主力推導專案的是風控部門或是資訊部門,等整體制度建立完備後,仍會交與法務部門長期維運,畢竟這最終還是法規遵循問題。

舊有基礎新修訂?遵循新管理制度?

由上述可看出每家金融機構的執行進度差異並不小,有時候亦不單純是規模問題,而是主其事者的想法。有些銀行認為過去主管機關已經訂有相關規範,只要再擴增一些個資法新法的範疇即可,如紙本、人工蒐集的部分。舉例來說,不僅是台灣,包括新加坡、馬來西亞、印尼等最近也都正修訂個資法,所以亦有不少外商銀行有自己的政策及計畫須遵循,因此也希望金融業的管理辦法有較多彈性。另一派則不然,認為新舊法差異影響甚大,應當制訂一套新的管理制度,運用新架構來因應個資新法。不過,根據金融主管機關內部消息人士指出,目前主管機關態度可能傾向於後者。無論如何,在這段公告期間,各界仍有提出意見修改申訴的空間,只是個資檔案安全維護計畫標準當然不可能與各家金融機構的預期完全相同,所以各家金融機構也必須要有備案可以因應,而銀行公會更應有一些適當的規劃可以起帶頭作用,提醒業者如何因應。

金融業個資檔案安全維護計畫標準 新舊有不少差異

在細則草案公告之後,個人資料檔案安全維護計畫標準也差不多就要呼之欲出,不過,雖然名稱叫做安全維護計畫,業內人士表示,其實對主管機關來說,檔案的管理與檔案安全是兩件事情,檔案安全大約可視為我們一般在談的資安,而檔案的管理主要指的是當事人的權利義務、委外管理等,只是,如果管理沒做好也會危害到檔案安全,因此便以檔案安全維護計畫來統稱。如果仔細觀察,會發現過去的安全維護計劃常會根據技術環境來描述,但新的計劃則是強調考量流程環境、業務特質等,因為這都會影響到個資的處理。

依照目前已預告的細則草案,業內人士認為金融業的個人資料檔案安全維護計劃標準應有跡可循,推測與過去的計劃標準主要差異大約會如下列:

個人資料檔案管理-

1. 當事人的權益要履行(告知、通知) 
過去的舊法並沒有特別針對當事人的權利義務,非公務機關要告訴當事人什麼事?當事人可以要求什麼事?當事人可以拒絕什麼事?這些都會上承細則, 建立程序。也包括確認當事人的方式,確認誰是當事人?並回覆他的請求。

隨著細則草案的公佈,銀行公會也說,針對不同業務如存款、財富管理等,銀行公會也訂定統一的書面告知方式以供各銀行參考。過去銀行既有基礎多在於電腦處理的資料保護,因此也會針對金融業既有的「個人資料檔案安全維護」、「業務終止後個資處理方法」再強化人工蒐集的部分,進行修訂,此外像是委外管理的部分也都會再依照各業者意見,再進行檢視與討論。

其實,除了人工蒐集的部分,還有間接與直接蒐集的差異,這些在過去都沒有被細分。例來說,某財團法人幫教育部代收教育經費,與許多財金機構簽約代收、代付。雖然金管會要求各銀行要保護自己客戶的資料,但前來委託代收、付的個人,雖然非本行客戶但仍有蒐集個資之實,亦得負起保護責任。這部分其實也非IT部門負責,而是企金、消金,因為簽約單位是一個法人,又對一般客戶收費。前段是人工,後面的精算是自動,可說是半人工、半自動,並且有著間接蒐集個資的考量存在。

2. 委外管理(選任、監督)
而像是過去針對委外的管理,以往是只有委外查核的權利,稽核只有查核,開缺失要求業者改善。但現在,監督的方式已經相當的明確,除了要確保改善會發生效果,更有強制接受管轄的可能性存在。此外還保留了委託人與受託人之間指示的空間,也就是說雖然主管機關不能直接調查委外單位,但可以透過委外機構與委外廠商之間的契約,要求受到委託的單位配合主管機關的調查。

3. 個人資料的盤查並且評估風險。
銀行公會法規紀律委員會也表示,盤點的必要性在於能夠針對補行告知的成本進行規劃。例如過去申請信用卡,需在上面填寫連絡人資料,當時信用卡申請人也不一定有告知連絡人,但現在看起來這些資料的蒐集卻不是一定需要,並且往後若資料需要再利用,也必須一一補行告知,當然,亦可選擇刪除不再使用。但是到底是要留存或補行告知,都必須做成本上的考量來加以判斷。

這些都是過去所沒有,但未來的法律責任必須會被談到的部分。

資安技術水平要求-定義個資事件 明定作業、技術管理措施

隨著細則草案的公佈,其實也已經點出一些過去並未施行的重點。例如在草案裡頭已經定義了個資事件為何-個資被竊取、竄改、毀損、滅失或洩漏,而不是廣泛的僅談安全的概念,此外也必須要有能力因應這些個資事件,並且也援引消保法的概念,非公務機關應提供可期待的保護技術水平。例如如何避免惡意程式與系統漏洞的威脅、定期進行弱點修補、設立權限控管的認驗證機制、檔案分享軟體的控制等等,不僅要定期自我檢查,此外,落實改善的程序也都要記錄,持續改善。

接下來金管會將會提供相關範本,但在精神不變的條件下,各局可於修正草案修正意見時,針對不同業務性質,在作業管理措施及技術管理措施來增減刪駐意見,例如說證券交易在早上開盤是絕對不可以出事的,但銀行就沒關係,頂多就下午再匯款,所以也許證期局的版本就應該增加備援機制的規範,確保資料的正確性,同城異地備援等等。

取得主管機關期望與實務之間的平衡

除了針對個資法的因應,在主管機關設立的標準與銀行實務上的執行方面,須及早因應取得平衡。專家也提醒,對法條的詮釋未來或許在執行面可能還是會有落差,相同字眼可能會有不同的解釋。例如許多IT相當熟悉ISO 27001的規則,HR部門的人卻不然。但像是HR系統權限常是獨立而非由資訊部門控管(因涉及薪資機密),但HR系統裡也含有個資,HR部門是否也可符合到ISO 27001的標準呢?另外,訂定法條的法務、業務、資訊部門,各自有其不同審視角度,在解讀法律與實際執行面,可能會有相當的落差,例如法務認為蒐集Log容易,但IT在執行上卻可能面臨挑戰,法務認為告知的方式麻煩,實際上或許可用科技方式解決。因此在執行面就要看該企業對整體計畫規劃的完善度,若能做好計劃管理,將含有個資卻非IT管轄的系統,也納入保護,便能更加完善,並使專案順利進行。無論如何,細則辦法的規定都只是一個指南針,指引大方向,但如何規劃落實,還是有賴企業落實的方式。