法規遵循 人事保證 保險 安全 資安

保安、保固、保證、保險 守護企業資通訊安全

2014-09-29
面對層出不窮的資安事件,企業確有必要建構安全防護網,以獲取客戶及消費大眾的信任,才能成功拓展商務。企業可綜合考量保安、保固、保證及保險四大法寶,透過技術措施與契約安排等機制,調配出成本效益最佳的處方以對症下藥。
資通訊科技如同一刀兩刃,能讓現代化企業提高營運績效與獲利,也可能使企業內部的營業秘密與客戶個資等重要資訊遭到駭客入侵或內鬼竊取。因此,企業確有必要建構安全防護網,此可從保安、保固、保證及保險等四方面下手佈建。

科技保安—考量整體財務成本效益

近年來BYOD(Bring Your Own Device)亦即員工攜帶行動裝置上班,已蔚為一股風潮,不僅可降低企業資通設備的建置成本,亦有助於提升員工工作效率。

「行動辦公室」的概念也進一步活化,BOYD的員工並非一定要待在辦公室才能夠工作,大白天在咖啡館裡就可以看到許多人透過手機、平板進行商務連繫,或者是進行創作生產。「整個城市,就是我的辦公室」,住家、巴士、捷運、客戶公司等地都可以隨時上線辦公,凡此均有賴於行動裝置、雲端科技以及虛擬化平台等資通科技的協力運作、無縫接軌。 然而由小米手機被爆料將用戶資料上傳到北京伺服器引起喧然大波,以及許多企業遭受到APT(Advanced Persistent Threat)進階持續性滲透攻擊或DDoS(Distributed Denial of Service)分散式阻斷服務攻擊等案例,在在顯示資訊存取的便利性其實隱含著巨大的資安危機。

不論是企業本身,或是協助企業建構公有雲、私有雲、混合雲及其他資通設備的外包廠商,都需要強化保安的技術措施。因此,隨著資通科技的進展與普及,資安產業也蓬勃發展,有從資訊在上下游供應鏈的各種存取模式提供安全防護,亦有從不同的風險源頭對症下藥,而推出形形色色的產品服務,提供金鑰、鎖碼、偵測、監控、防火牆等多種多重的安全措施。這些保安方案固然可強化企業及資通外包廠商的資安環境,但建構綿密的保護網也需花費相當的採購成本,應納入整體資通成本效益的財務規劃。

採購保固—資安事件衍生損害多未涵蓋

企業採購資通設備一般會要求外包廠商負擔產品的保固責任,亦即外包廠商就其販售的資通設備在保固期限內正常使用下的故障,應負責維修或更換新品。然而就人為因素(如駭客入侵或內鬼竊取)所引起的故障損害,通常並非產品保固的範圍。

基此,企業與外包廠商等買方為強化資通產品的安全,亦可能向資安廠商採購如前所述的保安方案。由於該保安方案之目的即為預防及解決人為因素的資安事件,因此買方當可理直氣壯要求資安廠商提供資安保固,亦即資安廠商須就保安方案的瑕疵負起維修及更新的保固責任。然而就資安事件引起的衍生性損害,因其範圍難以估計,且性質上主要為純粹經濟上的損失(如個資損害賠償及營業利潤損失等),資安廠商多會特別約定其不在保固範圍之內。買方雖然可要求資安廠商須負擔全面性的資安保固之責,然此勢必大幅增加採購成本。

人事保證—透過員工契約防範資安事件

許多資安事件係因企業員工對標準作業程序(SOP)的疏忽怠慢所致,甚至是內神通外鬼的故意犯罪所造成。企業除於雇傭契約中要求員工保證善盡保密及誠信守法等義務之外,亦得要求員工另覓第三人簽署「人事保證」契約,由該保證人於員工將來因職務上之行為而應對企業雇主為損害賠償時,代負賠償責任。此舉將可促使員工基於人情義理的壓力,在業務執行上更為謹慎。

然而為避免人事保證遭到雇主濫用,民法訂有許多限制規定,如人事保證約定的期間,不得超過3年;人事保證之保證人,以雇主不能依他項方法受賠償者為限,負其責任;保證人原則上就其賠償金額以賠償事故發生時,員工當年可得報酬之總額為限;此外,民法亦訂有其他減輕保證人責任的規定(詳參民法第756條之1至9等規定)。儘管如此,透過保證契約的簽訂,企業某程度得藉此防範資安事件的發生。

商業保險—將資安風險轉嫁給保險公司

企業另得透過保險機制分散資安事件的風險,至少可考慮投保以下幾種商業保險:

1. 資訊安全綜合險:即對於資訊遭第三人竊取破壞等資安事件,致企業須負擔違反個資法、消保法或其他法律的賠償責任,由保險公司理賠。另就資安事件之調查、鑑定、通知客戶、停損保全、設備修復、企業商譽之公關處理、及訴訟抗辯等成本費用,亦得附加在綜合險之中,惟須視風險機率及影響範圍,調整保險費與保險金的計算。

2. 董事及經理人責任險:此簡稱D&O(Directors and Officers)保險,亦即企業支付保險費,就其董事及經理人因業務過失而須對第三人或企業負擔之賠償責任,轉嫁給保險公司理賠。D&O保險範圍另可包括企業對於董事及經理人之損失已提供補償部分予以理賠。此保險係企業留才機制之一,旨在使董事及經理人勇於任事,不會因為怕擔責任而畏首畏尾。由於資安事件的發生亦可能追訴董事及經理人的法律責任,因此有採納D&O保險配套的需要。此外,企業亦可考慮對所有員工投保僱傭行為責任險,使保障更為周延。

3. 人事保證保險:鑒於企業員工未必能順利覓得第三人為其人事保證作保,而民法訂有許多減輕保證人責任的規定,使得人事保證的運用受限,因此實務上乃推出人事保證保險,等於是由保險公司擔任保證人的角色,此亦兼有員工誠實保證保險的功能。至於企業因此需繳納的保險費,得於雇傭契約中約定由員工薪資中扣繳,或由企業自行吸收以免嚇跑人才。

惟須注意,保險公司畢竟不是上帝,無法海納所有風險,保險合約中的不保事項就是魔鬼常出現的細節,企業於磋商保單條件時務必詳加審閱。

<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!