個人資料保護,是國際社會越來越重視的議題,近年歐盟和美國的官方及民間都紛紛祭出個資保護相關法規與做法,臺灣也於去年3月正式決定要設置個資保護的獨立監督機關。
同年5月,立法院通過《個人資料保護法》(以下簡稱《《個資法》》)修正案,規定「個人資料保護委員會」(以下簡稱個資會)為此法主管機關。12月,正式揭牌個人資料保護委員會籌備處,負責委員會籌設事項的總體規畫、委員會組織法規研擬、《個資法》訂修及解釋、公務與非公務機關個人資料保護事務規畫、個資保護相關人才訓練、個資保護科技應用的研究、國內外《個資法》規研究、國際個資保護事務合作等職責。
2024年1月,《個資法》相關業務正式轉移到個資會籌備處。3月公聽會中,籌備處表示將優先推動個資會組織法規,賦予個資會相關執法監督權限,並研議個資會與各級政府機關、中央或地方目的事業主管機關聯繫協調合作機制及相關配套規定, 目標是2025年8月11日前正式成立個資會。
在今年資安大會中,個人資料保護委員會籌備處組長林逸塵整理了國內外的個資保護框架及法規,歸納出企業如何強化資安治理,來保護手中個人資料。他更以臺灣實際的個資外洩訴訟案,來說明個資侵害事件中,企業資安治理哪些環節不足,會遭到究責。
從歐美個資保護框架看資安治理對隱私的重要性
林逸塵表示,個人資料保護不只要注重CIA(機密性、完整性、可用性),更要注重資料去識別化與加密、物理性或技術性事件中即時回復個資可用性、定期評估個資保護安全性,以及發生個資侵害事件時主動通報等。他說,要做到這些事情,必須由良好資安治理做法來規範。如何做到好的資安治理?他以歐美國個資保護框架及建議做法來說明。
歐洲資料保護委員會(EDPB)制定了《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification),要求資料持有者依照CIA框架辨別潛在個資侵害事件,並依據事件發生的隱私風險,包括可能性與嚴重性,對主管機關及個資主體主動通報。此指引也列舉了勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩等6大主題、共18種個資侵害事件,一一說明這些事件的風險評估和分類方式、建議最佳應對方式,以及典型錯誤應對方式。
林逸塵指出,這份指引中,CIA標準是以個人資料風險為主體,而非從系統角度來評估。EDPB定義中,個人資料的CIA意味著:未經授權或意外的存取或傳播個資、未經授權或意外的更改個資、未經授權或意外的破壞或遺失個人資料。這也說明,在EDPB眼中,隱私雖是資訊安全一環,但比起系統安全,更加強調個人安全,尤其是個資侵害事件中,個資主體權利如何受到影響。
眼光看向美國,今年年初由美國國家標準與技術研究所(NIST)發布的網路安全框架2.0(CSF 2.0),於原有5大功能(識別、保護、偵測、回應、復原)的基礎上,新增了「治理」為第6個功能,將網路安全風險管理提升到組織營運戰略層面。
同時,NIST也提供了網路安全與隱私參考工具(CPRT,Cybersecurity and Privacy Reference Tool),整合了CSF2.0、NIST隱私框架、NIST風險管理框架、ISO/IEC 27000系列等網路安全與隱私保護的標準與框架。使用者可以根據CSF 2.0 6大功能及其子分類,來查詢建議實踐範例。
林逸塵用CPRT收錄的建議實踐範例,從6大功能來說明個資保護應該注重的資安治理流程。治理方面,應注重法律及合約要求;識別方面,應注重資料、軟硬體、系統、設施、服務、人員的識別、管理和紀錄;保護方面,應注重身分管理及驗證,以及存取控制;偵測方面,要建立持續監測內外部潛在風險的機制;回應方面,要制定事件管理、分析、回應報告及溝通機制;復原方面,則要有能力執行事件復原計畫及事件恢復的溝通。
攝影/郭又華
歐洲資料保護委員會制定的《個資侵害通知範例指引》,以6大主題、共18種個資侵害事件為例,說明不同事件如何評估隱私風險,以及如何依據風險,做出最佳應對方式,以及典型錯誤應對方式。
企業須證明資安治理措施有效保護個資,發生事故才能免責
看回臺灣,資安治理是對臺灣企業來說更是不可忽視的議題。林逸塵引用一分資安業者2024年1月研究,臺灣6個月內,平均每周遭受2,930次網路攻擊,是全球平均的2.7倍。不僅遭受攻擊的風險高,一旦發生資料侵害事件,造成他人權益損害,企業還得負擔行政責任及民事責任,面臨鉅額罰款及賠償。
他以今年剛二審判決的一起飯店顧客個資外洩訴訟案為例,說明企業會如何因為資安治理不當而被究責。
事情經過是,有位民眾在飯店消費,後接到謊稱飯店客服的騙徒詐走近10萬元。原本消費者只寄送存證信函要求飯店刪除並不再使用自己個資,卻接連收到來自飯店簡訊,申訴後才知道,飯店的IT委外廠商曾通知飯店有5,423筆個資外洩,但飯店和IT業者都沒有通知顧客,這位受害民眾憤而提告。
一審時,法院只判飯店業者刪除並停止利用所有消費者個資。不過,受害民眾不服提起上訴後,雖然委任IT業者提供了多項資安作法的證據,例如對非允許IP進行阻擋之截圖、針對廠商帳號密碼及個人資料 AES256加密機制截圖、多重伺服器分散資料、主機帳密權限控管與RSA私鑰管理、限定防火牆規則截圖等多項文件,法院仍認定IT業者無法證明自己在個資外洩事件前,有妥善管理及維護相關系統,因而,改判決飯店業者及委任IT業者各賠2萬元給消費者。「雖然這次只有各罰2萬元,但如果考量行政罰鍰最高1,500萬元風險,以及5千多名個資遭外洩民眾的求償風險,企業潛在財務損失非常龐大。」林逸塵指出。
林逸塵進一步解釋,飯店及IT業者敗訴關鍵是,消費者沒有自行使用、管理個資的能力,舉證責任在資料控制方──企業必須證明事前有採取適當安全措施,沒有故意或過失,才能免除責任。二審中企業方提供的資料,都只能證明事件發生後的措施,無法證明事前做法保護消費者個資。這個案例說明,企業應妥善分析隱私風險、在個資侵害發生前採取適當安全措施,並有能力證明採用措施的有效性。
現行法規定義下,什麼樣的措施算「適當安全措施」?林逸塵也進一步解讀《個人資料保護法施行細則》第12條定義的適當安全維護措施項目。
第一項是,配置個資管理人員,甚至成立跨單位個資保護執行小組。第二、第三項是盤點組織內各種紙本及數位個資,以資料CIA等特性來評估隱私風險,並依據風險程度訂定安全管控程序。第四項則是強調制定事件通報管道,視情形需要聯絡主管機關及個資主體。第五項,是確保個資蒐集、處理及利用方式符合法規。
第六項則要在完成個資隱私風險盤點後,依照風險高低控管不同人員的存取權限。第七項得依照內部人員不同職務來規畫專屬個資保護的教育訓練。第八項是妥善管理有存放個資的設備。第九、第十項要求得建立資安稽核機制,追蹤並保存資料安全相關措施的紀錄和個資使用過程所產生的紀錄,能證明有善盡個資保護責任,以備舉證或接受稽核之需。第十一項則是要求企業,得持續改善個資維護做法,包括事故後檢討、時常檢視個資保護制度、審視制度落實程度,並保留執行過這些事的文件作為證據。
熱門新聞
2024-12-24
2024-12-22
2024-12-20
2024-08-14
2024-11-29