2011/12/19-廖于嬋
新版個資法規範了企業必須保護的個資類型,包括了姓名、生日、身分證號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動,以及其他可以直接或間接識別出個人的資料都屬於個資法的保護範圍。
台灣企業面臨新版個資法上路造成的影響,因為個資法不僅會影響到未來企業蒐集顧客資料、利用個資行銷的作業方式,連企業現有的顧客資料都將受到影響,甚至最嚴重的情況下,企業辛苦累積數10年的顧客名單將無法使用,企業可能面臨營運停擺的危機。另一個讓新版個資法備受矚目的原因,是在於刑事及民事責任均有加重規定,一旦違反使用個資,每人每一事件須負500元至2萬元之損害賠償責任,最高求償金額高達2億元;若企業或組織因違法使用而對當事人產生損害時,負責人還得面臨5年以下的有期徒刑。這些都是個資法施行後,企業立刻要面對的問題。
企業必知的新版個資法3重點
新版個資法適用台灣所有企業、組織、團體或機構,不論規模大小、個資數量多寡,甚至包含個人都受到新版個資法嚴格規範,因為新版個資法中只要擁有1筆個資就得遵循,無一豁免權。所以企業需掌握以下重點,在新法上路的適應期間,做好最萬全的準備。
重點1:企業還有多少時間可以準備?
個資法施行細則在2011年的11月公佈後,企業將有一年的適應期,所以最快在2012年11月25日之後,所有個資外洩的可疑情況,企業都必須負擔法律責任。看似還算充裕的時間,但是實際上企業需要檢視與調整的流程相當繁複,1年的適應期並不算太長。
重點2:因應新版個資法,企業該如何準備?
BSI英國標準協會依照英國個人資料保護標準BS10012的經驗法則,建議企業要先從建立正確態度著手,讓每一位員工瞭解「客戶信任企業而將寶貴的個人資料交付企業使用,企業理應負起完善的保護之責。」才能繼續探討流程及步驟的改善。初期可先進行8項作法,包含訂立政策與建立專責組織、進行個資盤點、明訂個資存取程序、落實宣導與教育訓練、加強監控與檢視、提高個資外洩時的反應能力、重新審視委外廠商的權利義務、遵守法規並落實內部稽核。這些都是方向性的作法,有了這些起步,再透過一套完整的P(規劃)、D(執行)、C(稽核)和A(改善)的循環流程,建立一套完善個資保護的框架和最佳實務,落實企業的個資保護措施。
重點3:企業如何自行舉證沒有違反個資法?
新版個資法中,最讓企業感到困惑的法規,便是企業必須負起證明企業本身無過失的舉證責任,但是如何舉證?還是只要購買資安產品就可以證明無過失?這是大部分沒有法務人員及資安專家編制的中小企業,最為苦惱的事情。微軟個資保護中心建議,為因應各產業與公司的情況不同,應先進行風險評估,包含資訊風險鑑識分析、個資外洩衝擊分析等,診斷出IT環境中可能導致資訊外洩的弱點,例如企業網站容易被入侵、辦公室電腦容易被植入木馬、系統存有弱點、或是郵件系統容易被員工作為外洩資料的管道,釐清企業平日應監控的範圍,才能備存舉證所需的各式紀錄檔。進行個資外洩衝擊度鑑識,瞭解本身資安各環節的弱點,才能選用合適工具備存紀錄,建立企業自行舉證的能力。
微軟成立個資保護中心 為企業做好衝擊準備
微軟個資保護中心可協助使用者從管理面與技術面評估各項可能的個資外洩風險,並且提供完整的評估報告,協助企業主動避免與規避風險之發生,以保護客戶權益。
根據美國FBI及CSI數位犯罪的2009年回報統計,惡意程式攻擊占數位犯罪中的64.3%;其次是伺服器攻擊占29.2%,及網路金融詐欺占19.5%。值得注意的是,根據美國統計與個人資訊密切相關的金融詐欺與密碼偷竊,各有12%及9%的成長趨勢。因為個人身分、健康資訊遭竊及金融詐欺等個資數位犯罪,已對企業造成的平均損失高達新台幣3,965萬元。
為讓台灣企業個資防護滴水不漏,協助企業因應新版個人資料保護法的衝擊,並讓企業重新審視內部作業流程的個資保護措施,台灣微軟成立了「微軟個資保護中心」,也是台灣第一個針對個資保護設立的專責組織。
目前微軟個資保護中心第一線資訊安全小組提供「資訊外洩風險評估暨個資外洩衝擊度鑑識」,包含資訊風險鑑識分析與應變、個資外洩衝擊分析與應變、網路行為模式分析與緊急惡意程序分析與應變服務等,在制度、管理及技術面均可以符合新版個資法之要求,協助企業診斷出 IT 環境中可能導致資訊外洩的弱點。
DIGITIMES中文網 原文網址: http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?id=0000264173_UZW2HH0Z6UN3GM4XJCKQN&ct=1#ixzz1gywz0bij