個資法專欄/個資法案例不斷 企業該如何自保?

文/個資法專家個資上路短短不到半年的時間內,不斷爆出國內企業與政府的個資外泄案件。雖然至今尚無因個資外泄而賠錢的消息傳出,卻一再的反映出個資防護被忽略的嚴重程度。而身爲企業主的你,應正視公司內部個資外泄的危機

太子汽車於前日傳出個資外泄事件,發生在網站存放的一份純文字名單資料,裡面紀錄政治人物姓名頭銜,及手機號碼。包括副總統吳敦義新北市長朱立倫,以及吳伯雄政要的手機號碼,全都在太子汽車的網站上曝了光,加上國民黨衆多民代和政要,一共1300多筆的個資外露。這已經涉嫌違反個資法, 1300多筆電話沒經允許就公開讓人能找到,雖然該網站重新整理上線後,這些資料已清除,但恐怕手機號碼已經擴大外流

民間企業而言,若該事件發生在自己身上,依照個資法第二十九條第一項規定:「非公務機關違反本法規定,致個人資料不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」面對個資法,企業應同步重視「紙本文件」和「電子檔案」;公司違法,不只老闆,實際上經手員工,也有可能因此受罰。但若是能在被告的同時提出有將個資保護好的證據,則免責。因此公司員工的個資處理,不但需要強化安全控管機制,未來更要確實追蹤資料流向

積極實行『個資盤點』、『個資保護』、『稽覈管理記錄』、『個資教育訓練

秉持預防勝於治療的觀念,國際驗證公司BSI日前將英國個人資料保護標準BS10012,根據規畫、執行、稽覈、「改善」四項建立出品質管理循環,並依據四字英文字首,簡稱爲PDCA。也就是個資法及施行細則中所謂的「適當安全措施」在訂立時所必須參考的標準。

「規畫」:分爲制訂個資保護政策和設立立『專門組織』、明訂個資存取控管程序方法兩項。「執行」:涵蓋了進行『個資分類盤點』與『保護程序』、落實個資保護宣導與『教育訓練』。「稽覈」和「改善」:包括了加強個資安全監控與檢視、提高個資外泄事件反應能力、重新審視與委外廠商的權利和義務以及遵守法規並落實『內部稽覈機制』。

優碩資訊科技解忠翰表示:『除了完整PDCA安全措施外,企業還可以將盤點出的個資加設DLP/DRM防止資料外泄技術,將個資文件加密保護、及個資文件設權限,將可以達到個資保護的效果。』