專家傳真-個資外泄頻傳,企業如何因應
王品餐飲集團會員個資外泄並遭到詐騙,到近日臺北國際馬拉松大賽參賽者遭到詐騙,已經接獲20多件報案。
雖然早有〈個人資料保護法〉,但第28條第三項、第四項所指,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,若以2億元的賠償上限,除以750萬位學生,平均每人賠償26.6元,賠償上限使得立法目的難以落實。
這些受詐騙的個資所有人其損失屬第三人損失,這是責任保險(Liability Insurance)主要理賠的項目,換句話說企業可以藉由適當的責任保險來彌補消費者或者客戶的損失。對責任保險的誤解或忽視,正是臺灣企業與國際企業在風險管理思維最大的差別。
資安保險是一項新興的保險規劃,除了提供企業資料恢復及系統修復、相關危機處理費用、信用監控費用、數位鑑識費用之外,也包括造成的財務損失及對第三方的損失請求賠償。
常見企業對自身的資安防護作爲非常有重心,認爲即使遭受攻擊也能夠在最短時間之內恢復系統,然而依據〈2021 IBM數據外泄成本報告〉實際調查發現,從駭客入侵到企業發現遭受攻擊平均天數爲212天,確認被攻擊之後到完全控制爲75天。
即使企業可以承受自身的緊急修復成本及財務損失,但面對上百萬甚至千萬筆個資外泄、遭受詐騙的客戶所提起集體訴訟如何面對呢?
個資法立法之初若更理解保險特性,善用責任保險的賠償功能,可創造多贏局面,一方面因個資外泄的受害者得到合理的補償(遠超過500元),而企業透過風險轉嫁也不致因賠償受害人損失而破產或倒閉,同時得以實現當時個資法立法之目的。
個人認爲,對第三方損害賠償責任的重視代表一個社會公民意識的成熟度,近來漸漸看見法院作出天價賠償的判決,這正是一項重要指標。
我經常對董事會成員提出一個概念「Liability is fatal」。Liability對財會人員而言是所謂的「負債」,但在風險管理專家眼中卻是「法律賠償責任」,而法律賠償責任極可能導致企業倒閉。
企業面對風險管理時絕大多數重視的是自身實體損失,例如機器設備、廠房、運輸車隊,輕忽第三方的賠償責任,因此責任保險不是額度太低就是挑選價格便宜的險種而買錯商品,例如桃園某製藥廠大火波及隔壁工廠,卻誤以爲投保3,000萬公共意外險可以理賠相鄰廠房損失,其實受制於分項限額僅有500萬額度可賠償第三人財物損失,在此案中真正可以賠償第三方財物損失是Commercial General Liability Insurance (CGLI)。
回到資安保險本身,愈強固的個資防護機制降低的是外泄事件發生的可能性(Likelihood),投保資安險時也可以得到更好的費率(Rate),同時足夠的「法律賠償額度」可大幅降低該事件帶來的衝擊(Impact),確保公司EPS的穩定性。值得一提的是資安保險其保險額度可全額給付因個資外泄請求損失賠償之和解金或獲賠償金,不受分項限額(Sub-limit)的限制,對企業風險轉嫁可發揮最大效益。