新版個資法自2010年4月通過以來,歷經長達2年半的時間終於正式上路,在這段期間內,企業的法規遵循究竟做到什麼程度?本文根據個資法施行細則所列的11項安全維護措施,加上第12點委外監督管理,檢視目前各個產業因應個資法的現況,並以分數作代表,舉例來說,如果該產業內20%的企業皆已完成個資盤點,則給予1分,如果40%企業已完成則給2分,依此類推。
根據個資法施行細則第十二條規範,本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
1、配置管理之人員及相當資源。
2、界定個人資料之範圍。
3、個人資料之風險評估及管理機制。
4、事故之預防、通報及應變機制。
5、個人資料蒐集、處理及利用之內部管理程序。
6、資料安全管理及人員管理。
7、認知宣導及教育訓練。
8、設備安全管理。
9、資料安全稽核機制。
10、使用紀錄、軌跡資料及證據保存。
11、個人資料安全維護之整體持續改善。
銀行業逾6成已個資盤點 應注意業務自行管理的設備
以金融業來說,尤其是銀行業者。資誠企管顧問梁亦銘協理認為成立管理組織、個資盤點6成以上銀行業者都已進行,但如果是個資風險評鑑,有請外部顧問協助的比較積極在做,目前在百來家銀行中,有請顧問者目前約20家。某銀行業表示,請外部顧問主要是來建立制度,而不在於驗證取得證書。
.jpg)
6成以上銀行業者都已成立管理組織、盤點個資,但有進一步到個資風險評鑑的比較少,目前百來家銀行中,約有20家請顧問者協助進行。
許多項目如第4、6、9、10、12金融業已經都被要求要做,只是目前看來有特別因為個資而去加強的還不多,例如已經有(錯帳、資安)事故通報應變機制,但還沒有個資事故通報應變機制。或者已經有原本的稽核,但還沒有個資稽核。已經有監督委外廠商,但個資法後應強調委外結束後個資的銷毀。此外,第8.9.10項與IT相關的,銀行業者也多半比較有管理基礎。以設備管理來說,如果是由業務單位自行管理的設備如票據處理機,其使用過程中的個資目前看來就還暴露在風險中。
梁亦銘認為以整體金融業來看,因應成熟度為:銀行>壽險>證券>產險>資產管理>投信>保經保代等。中小型金融業者因IT人力不足,在進行存取權限的授權與管理時需要特別注意。
保險業2至3成找個資顧問 委外銷售保單需留意
在保險業的部分,安永企管諮詢服務部執行副總張騰龍認為目前將近6成,均已在企業內有專職個資保護的人員或組織。但是目前部分業者的個資專案雖有個資小組,卻仍未推派出主導人員。張騰龍指出,個資保護專案是一個會改變企業現有流程的重要專案,最好是由能實際運作跨部門協調、對企業主有影響力的資深主管擔任。
個資盤點的部分,不論自己做或找顧問協助約有6成已進行,從去年就看到有壽險業者自己來。安永企管諮詢服務部執行總監李永強分析,目前約2至3成的壽險業者有找外部顧問協助進行個資保護相關工作。由於個資法已經上路,某些業者去年並沒有編入相關預算,無法全範圍導入,只能在僅有的預算中先選與業務/客戶個資相關的核心系統先做。他也指出,某些業者自已進行個資盤點完接著進行個資風險評鑑時,往往做的不夠完整,建議必須從威脅、弱點等不同角度去分析,才能完整看出風險全貌。
至於通報流程及其他第5~12項,壽險業原本既有流程就已存在,只要增加個資管理的項目進來,也可算基本上符合規定。此外針對第5點,此次個資法特有的公告程序,壽險公會已制訂相關適法性文件、範本,例如在要保書的附件中記載相關聲明等,可提供業者馬上利用。
關於委外管理,許多業者平時都已透過簽約時的廠商評估或要求期中報告等方式來監督委外廠商作業,日後也會將個資管理項目加進來。另外需特別注意委外銷售的情形,例如委託銷售保單,許多壽險保單是由銀行理專售出,那麼銀行即成為保險公司的委外單位,也需依照委託機關適用之規定。因此李永強認為,對銀行業來說,必須同時符合銀行、壽險業的個資管理規範。有此類委託銷售情況的還包括產險,如車險委託車商銷售、火險委託建商銷售等。企業必須審慎檢視自己的營業項目以完整符合主管機關的法規。
最後,李永強建議,企業在推動個資保護工作,不應只是把法條制式文件/範本拿來照本宣科複製一套,這樣的文件也許可以表面上因應個資法,但恐怕無法整合第一線人員實際作業需求,企業應能依照營運需求而設計相對個資保護表單、制度,才能真正保護員工也保護企業。 (表1)
表1、銀行與保險業的個資法因應現況
| 項次 |
說明 |
銀行 |
保險 |
| 1 |
成立管理組織,配置相當資源 |
4 |
3 |
| 2 |
界定個人資料之範圍 |
3.5 |
3 |
| 3 |
個人資料之風險評估及管理機制 |
1.5 |
2 |
| 4 |
事故之預防、通報及應變機制 |
1 |
2 |
| 5 |
個人資料蒐集、處理及利用之內部管理程序 (特定目的、告知程序、當事人權利行使、資料正確性維持、停止搜集、) |
目的/告知3;
當事人權利、資料正確1 |
2 |
| 6 |
資料安全管理及人員管理 (投入預算) |
1.5 |
2 |
| 7 |
認知宣導及教育訓練 |
4.5~1.5 |
3 |
| 8 |
設備安全管理 |
5 |
2 |
| 9 |
資料安全稽核機制 |
1.5 |
2 |
| 10 |
必要之使用紀錄、軌跡資料及証據之保存 |
1.5 |
2 |
| 11 |
個人資料安全維護之整體持續改善 |
1 |
2 |
| 12 |
委外監督 |
1.5 |
2 |
資料來源:資安人整理,2012/10。
醫療業特別法已做好規範 個資法衝擊有限
醫療業也是擁有大筆個人資料的單位,尤其這些個資有一部份還是特種個資,照理來說個資法上路後的衝擊應該相當大,惟因原本的醫療相關法規就有明確規範,使得個資法衝擊有限。
醫療業台灣健康資訊交換第七層協定協會(HL7)祕書長黃穗秋指出,醫療業的特性是組織規模落差大,全台灣2萬多家醫療院所,可以分成醫學中心、區域醫院、地區醫院、診所數種類型,其規模大到擁有數千名、小到只有5、6名員工,規模落差大、所擁有的資源也就不同,因此在觀察醫療業個資法因應現況時,必須分成中大型與小型二個部份來看。
.jpg)
醫療院所80%的個資蒐集/處理/利用行為,已經被規範在醫療相關法規內,所以不太會有觸法的問題,只要不跨出醫療範圍,個資的使用行為就不容易受到影響。
由於醫療院所80%的個資蒐集/處理/利用行為,已經被規範在醫療相關法規內,所以不太會有觸法的問題,只要不跨出醫療範圍,個資的使用行為就不容易受到影響,而地區級以下的醫院,大部份使用行為都在法律規範內,舉例來說,診所很少舉辦衛教說明會,多是病患來就診時才會使用個資,所以個資法的衝擊相對來說比較小,自然也比較不會主動規劃因應措施。
至於醫學中心原本就存在醫院評鑑制度,裡面也已經有病人安全的相關規範,無論管理或稽核機制都有一定基礎,雖然沒有完全吻合個資法要求,但因為醫學中心平常都有在執行,且醫院評鑑制度是按照ISO標準來要求,所以個資法衝擊有限。
總結來看,醫院大致上都有做到60分,至於其他因應個資法而生的特殊機制,如:成立專責組織,目前有執行的醫療機構比較少,但大致上副院長都已經接到指示要成立組織,可能要等到醫院可以清楚掌握個資法衝擊在哪裡、哪些單位應該參與時,才會正式成立組織。
至於個資盤點,黃穗秋表示,醫學中心員工至少2~3000人,且人力非常吃緊,個資數量又多,在此情況下,要做全院個資盤點顯然不太可能,目前醫院比較著重在病歷的特種資料屬性,員工、委外單位往來等個人資料盤點尚未啟動,黃穗秋建議將資料分成基本資料與病歷資料,病歷資料受法律規範比較不會有問題,基本資料面臨訴訟的風險比較高,因此,醫院應該先檢視基本資料的應用管道,看看哪裡可能有風險,先去做盤點,從風險高的業務流程進行個資盤點,再慢慢擴大到全院,是比較可行的方式。
中華數位企業資料保護研究小組個資法顧問吳毅勛認為,醫療業在個資的蒐集/處理/利用上沒有違法問題,比較擔心的是個資外洩風險,所以可以看到一些醫療業者導入防制資料外洩(DLP)解決方案,如:台北附醫、台北榮總、署立嘉義醫院…等。
與醫療相關的生技製藥業,因為資源豐富,所以比較積極因應個資法,其最大問題不在於建立資安防護機制,而是第5項如何建立符合法規的內部管理程序,這是屬於法律的專業問題,而且不只是建立流程還要配合業務流程調整,才能做到不違法,因此傾向尋求顧問協助,黃穗秋亦指出,醫療院所對於與個資管理程序相關的法律文件如:同意書、告知內容…等比較有興趣。(表2)
表2、醫療與生技業因應現況
| 項次 |
說明 |
醫學中心、區域級醫院 |
小型/地區級醫院、診所 |
生技 |
| 1 |
成立管理組織,配置相當資源 |
4 |
0.5 |
5 |
| 2 |
界定個人資料之範圍 |
1 |
0 |
4 |
| 3 |
個人資料之風險評估及管理機制 |
4 |
4 |
4 |
| 4 |
事故之預防、通報及應變機制 |
1 |
1 |
1 |
| 5 |
個人資料蒐集、處理及利用之內部管理程序 (特定目的、告知程序、當事人權利行使、資料正確性維持、停止搜集、) |
0.5 |
0.5 |
1 |
| 6 |
資料安全管理及人員管理 (投入預算) |
5 |
0.5 |
5 |
| 7 |
認知宣導及教育訓練 |
5 |
0.5 |
4 |
| 8 |
設備安全管理 |
4 |
0.5 |
4 |
| 9 |
資料安全稽核機制 |
5 |
0.5 |
4 |
| 10 |
必要之使用紀錄、軌跡資料及証據之保存 |
4 |
0.5 |
3 |
| 11 |
個人資料安全維護之整體持續改善 |
4 |
0.5 |
2 |
| 12 |
委外監督 |
4 |
0.5 |
1 |
資料來源:資安人整理,2012/10。
政府計畫輔導 5成電子商務業者已做規劃
經濟部與法務部共同指定無店面零售業,自2010年7月1日起適用電腦處理個人資料保護法,加上經濟部成立多項計畫協助電子商務業者強化資安,因此不少電子商務業者已開始規劃個資法因應策略,不過電子商務如同醫療業一樣,有著經營規模兩極化的特性,小型電子商務業者可能只有4、5名員工,通常不會自行架設網站,而是依附在大型網路平台下進行交易,對個資法的因應頂多也只是完成教育訓練而已,至於中大型業者在政府補助計畫下,多半已經開始規劃相關機制,有關EC產業因應個資法的方式,可參考《資安人》雜誌73期「了解個資生命週期 EC業者做好資料保護」。
資策會科技法律研究所在2011年針對電子商務業者進行一份自我評量,調查結果顯示,電子商務業者都已經具備個資法的基礎認知,且有部份企業已經建立個資管理制度,就第5點程序面來看,比例最低的是個資刪除或銷毀的程序,主因在於業者不確定個資應保存年限該定多長比較恰當,至於第6點投入資源進行個資保護與管理,多半將資源投注在既有資安規劃下,至於個資安全維護事項的持續改善,由於多數企業是近2~3年才導入資安或個資管理相關制度,因此這部份的表現仍有待加強。
除了電子商務以外,吳毅勛指出,直銷業也是擁有大量個資的產業,對個資法也非常慎重,目前聽到幾家比較大型的業者已經完成個資盤點、教育訓練,也請了顧問作相關規畫,但零售業反應卻相對平靜,目前只接觸到1家專門在百貨公司設櫃的品牌商要求進行個資盤點、教育訓練。 (表3)
表3、電子商務產業因應現況
| 項次 |
說明 |
EC |
| 1 |
成立管理組織,配置相當資源 |
2 |
| 2 |
界定個人資料之範圍 |
2.2 |
| 3 |
個人資料之風險評估及管理機制 |
2 |
| 4 |
事故之預防、通報及應變機制 |
3 |
| 5 |
個人資料蒐集、處理及利用之內部管理程序 (特定目的、告知程序、當事人權利行使、資料正確性維持、停止搜集、) |
2.5 |
| 6 |
資料安全管理及人員管理 (投入預算) |
3 |
| 7 |
認知宣導及教育訓練 |
3 |
| 8 |
設備安全管理 |
3 |
| 9 |
資料安全稽核機制 |
3 |
| 10 |
必要之使用紀錄、軌跡資料及証據之保存 |
2.5 |
| 11 |
個人資料安全維護之整體持續改善 |
1.5 |
| 12 |
委外監督 |
2 |
資料來源:資安人整理,2012/10。
公務機關起步時間早 4成已成立組織、盤點個資
公務機關早在民國99年個資法三讀通過後,法務部就已發文要求各單位相關配合事項,包括成立組織、個資盤點等。在最近幾個月,也不難發現在公務機關的網站上均可查閱到「XX機關保有個人資料檔案公開項目彙整表」,也因此在第1.2項公務機關多數已達到,僅有約兩成還是沒有成立組織,此部份可參考《資安人》雜誌第78期「專人專職 打造個資保護黃金組合」一文。
至於第5項由於公務機關基於執行法定職務所必要,因此多數不需要特別去新增管理程序,而其他與資訊安全相關的措施,NII產業發展協進會吳昭儀經理認為,目前比較多看到先從帳號權限控管或Web系統的加密傳輸開始補強。此外,吳昭儀也提醒,許多機關的核心系統是放在業務部門自行管理而非資訊中心負責,其系統內的資料目前看來仍存有較大安全風險。
公務機關整體而言,中央單位對於個資法因應仍較為積極,地方政府恐怕只有做到中央單位的一半,地方財政困難,預算不若中央充裕,應是原因之一。
|
公務機關因應個資法經驗分享:交通部郵電司
交通部郵電司是交通部內負責個資法的統籌協調單位,自99年總統頒佈個資法三讀通過後,交通部相關個資法推動工作包括:(1.) 確認各產業之個人資料保護主要目的事業主管機關及法令依據。(2)訂定「交通部個人資料保護管理要點」,要求身為中央目的事業主管機關的部內單位及部屬機關必須訂定非公務機關個人資料檔案安全維護計畫及處理方法之標準。(3)修訂個資法之「特定目的」及「個人資料類別」。(4) 全面檢視主管法規是否須配合修正。(5)在交通部網站上成立個人資料保護專區,將單位內保有個資的檔案名稱、個資類別等公開於網站供公眾查閱。(6.) 指定「專人」辦理個人資料檔案安全維護事項。
郵電司在交通部個資保護專案中是扮演統籌角色,至於與非公務機關有關的部分,則由路政司、航政司各自督導觀光局、民航局就業務管轄範圍指定非公務機關訂定安全維護計畫、業務終止後個人資料處理方法相關規範。交通部依照各單位業務性質,推派出負責11項安全維護措施的主辦及配合單位,各主辦單位需負責新增/調整現行流程表單,將個資管理融合在原作業流程中。這項工作當初在畫分時也並不容易,遇到有爭議時所幸有交通部次長來協調解決。
此外郵電司也將建立「交通部各個人保管單位因應個人資料保護法作業流程表」以及持續辦理個資法講習教育訓練、製作個資保護宣導海報等。至於,未來民眾若要檢舉個資外洩案件,可參考「交通部處理人民陳情案件要點」第3點規定:「人民陳情案件應具備陳情書或以言詞為之。前項陳情書應載明姓名、住址及具體陳訴事項。」故未來民眾如發現疑似個資被外洩時,得以書面或言詞向各主管機關為之,亦可向交通部為民服務專線/櫃台辦理。檢舉時,應具真實姓名、地址、具體內容並簽名或蓋章。
交通部製作個資法宣導海報於機關每層樓張貼,並製發宣導貼紙給每位同仁,張貼於辦公桌處,隨時提醒個資保護觀念,圖左為郵電司科長傅桂蘭、專員蕭嘉豪。
|
教育單位5成已盤點個資 多為公立學校
前文曾提及,教育產業在因應個資法的時候會有定位問題,定位不同、個資因應規劃就會有差異,目前教育部將公立學校視為公務機關、私立學校視為非公務機關,所以配合之前法務部行文要求,教育部也同樣行文予公立學校,要求執行成立組織、個資盤點、建立事故預防/通報應變機制…等事宜,但私立學校就沒有。
而第5點建立內部管理程序,公立學校定位為公務機關,因為執行法定職務而搜集個資,可免除告知義務,但私立學校就一定要告知,只不過已經建立告知程序的私立學校並不多,吳昭儀建議可以將相關文字嵌入至新生資料表,是比較有效率省成本的作法。
至於第6到12點,教育產業的發展現況與公務機關類似。例如:結合現有資安預算採購資料安全管理解決方案,趁定期會議召開時進行個資法教育訓練,另外像設備安全、資安稽核、記錄、委外管理等作業的現況,也都是資訊部門多數已做到,但若不歸資訊部門管轄的業務資訊系統,就可能還沒有執行,舉例來說,有些學校的校務行政系統不是給電算中心管理,而是交由課務組負責,這部份的風險就會比較大,像是如果委外開發,可能就不知道要把安全列入委外稽查項目中。
吳昭儀認為,傳統資安稽核通常管不到紙本資料安全,因為資訊部門只是資料保管者不是資料擁有者,而這個資料擁有者可能會將檔案列印出來,增加個資外洩風險,以教育版ISMS為例,其稽核範圍通常只有學務、註冊、人事室、衛保組、電算中心,但其他校內單位也可能會接觸個資、甚至列印成紙本文件,此時該如何稽查?這是教育產業值得思考的問題。
.jpg)
傳統資安稽核通常管不到紙本資料安全,因為資訊部門只是資料保管者不是資料擁有者,而這個資料擁有者可能會將檔案列印出來,增加個資外洩風險。
表4、政府與教育單位因應現況
| 項次 |
說明 |
學校 |
政府 |
| 1 |
成立管理組織,配置相當資源 |
2.5 |
4 |
| 2 |
界定個人資料之範圍 |
2.5 |
4 |
| 3 |
個人資料之風險評估及管理機制 |
0.05 |
1 |
| 4 |
事故之預防、通報及應變機制 |
2.5 |
1 |
| 5 |
個人資料蒐集、處理及利用之內部管理程序 (特定目的、告知程序、當事人權利行使、資料正確性維持、停止搜集、) |
0.05 |
1 |
| 6 |
資料安全管理及人員管理 (投入預算) |
3 |
3 |
| 7 |
認知宣導及教育訓練 |
3 |
4 |
| 8 |
設備安全管理 |
4 |
3 |
| 9 |
資料安全稽核機制 |
4 |
3 |
| 10 |
必要之使用紀錄、軌跡資料及証據之保存 |
2.5 |
3 |
| 11 |
個人資料安全維護之整體持續改善 |
2.5 |
3 |
| 12 |
委外監督 |
2.5 |
3 |
資料來源:資安人整理,2012/10。
旅遊業/房仲態度兩極 公協會是關鍵角色
對一般民間企業、非公務機關來說,該產業是否積極因應個資法,公會扮演關鍵角色。吳毅勛觀察,在公會沒有大力推動的產業中,僅有少數龍頭廠商為個資法做出因應。許多旅行業者不僅網頁上會員條款都還沒有修正,甚至有些表示從沒聽過個資法。判斷這也許是因為旅行業有許多是靠行,主管機關或公會發文沒有傳達到的關係。反觀不動產同業公會曾舉辦教育訓練、座談會,已公告相關作業項目,甚至對於地政二類謄本個資的使用管理也已積極宣導。
雖然各個產業的特性、擁有個資數量/種類、個資法衝擊程度皆不相同,放在一起比較或許未盡客觀,但還是可以從中看到一些共通點,倘若該產業有公協會而且積極推動的話,該產業因應腳步平均而言會走得比較前面,當然,除了產業公協會之外,主管機關態度也會影響產業對個資法的看法,倘若沒有的話,則多是從龍頭業者開始,其他中小型業者多只停留在有認知沒做法的階段,有些積極一點的可能還會成立組織、盤點個資,但要再進一步到風險評估與規劃管控機制,也就是投入預算採購服務或產品,則又普遍缺乏,而有投入預算的企業,其投資金額多在新台幣100萬元以內,採購的資安解決方案以加密軟體、資產管理軟體、DLP為主,另外也有些業者投入強化基礎建設。
企業可以依據自身所屬的產業及因應現況,評估自己目前是績優生還是落在後段班,如果落在後段班就得加緊腳步跟上同業水準,畢竟個資法已經正式上路,法規遵循不能再有其他的藉口,就算沒錢採購資安解決方案,至少也要做到個資盤點、建立員工對個資保護的認知、建立符合法規的個資管理程序,否則就得小心成為個資法通過後的第一個判例。
|
法規、保單帶動產業正循環
此新版個資法雖然爭議不少,且在不景氣的時候上路讓不少企業主苦哈哈。外商銀行法規遵循部門資深副總裁徐子文認為,若以宏觀的角度而言,這部法案實質上不僅保護台灣民眾個資,也對於台灣產業要進入歐美等重視個人隱私的市場有絕大幫助,是能進而提升國家品質的法案。
徐子文分析國外政府-產業運作的情形指出,政府制訂法規只是帶動產業循環的起頭,不可能依靠法規來面面俱到,更多時候是需要靠民間的力量來驅動整體產業去做好安全。例如,保險就是一個例子。在許多領域,都是政府先立法,因為有了法規,企業必須思考應對,也產生部分避險的需求,帶動保險業者推出企業需要的避險保單。而保險業者會依據個別企業不同面對的風險和體質制定保費,安全做的好的企業可以獲得更優待的保費,讓企業導入個資保護和資安管理制度更增加誘因,進而使產業朝向正面循環發展。徐子文進一步指出,此次新版個資法將有兩個原因會讓企業思考用保單來避險,第一是新法中對於團體訴訟的規定門檻並不高,也早有「公益團體」為了辦個資外洩侵權的團體訴訟案件而設立,因此企業面臨了不同於以往的高度風險中。此外,在個資法第50條有行政罰的規定「非公務機關之代表人、管理人或其他有代表權人,…除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。」若到時除了公司被罰之外,個人也因第50條被罰時,此費用無法轉嫁到企業支出項下時,就可以用個資保險來負擔。
美亞產險資深經理鄭智友認為,在企業經營與獲利的過程中常伴隨著風險並可能因此而遭受損失。風險不可能完全消失,但可以轉嫁的方式減少損失的目的。個資法適用的行業範圍不是僅有金融、電信、電子商務及醫務體系等擁有龐大個人資料之行業,跨國品牌以及台灣引以為傲的供應鏈製造業,因其龐大的海外員工人數以及為數不少的散戶投資人,使其不能否認風險存在的事實。個人資料的蒐集、處理、利用,均處於日常的營運當中,即使在符合法令遵循的前提下,企業仍難避免在管理或人為上疏忽而導致可能的法律風險。個資險未必能完全轉嫁企業的損失,但絕對是避免遺珠之憾的理智決定。
|
【個資法鳴槍起跑,你落後了嗎?】之一:主管機關配套措施 先宣導再制定安全計畫
【個資法鳴槍起跑,你落後了嗎?】之三:剖析安全維護計畫 如何採購個資解決方案