金融消費者保護法 個人資料保護法 兆豐銀 洗錢防制 個資法 資安

做好資安就是保護個資? 法規遵循這樣誤會大了

2017-10-05
個資法要權衡的是避免人格權受侵害,以及促進資料的合理利用,與資訊安全透過軟、硬體之技術手段保護資產的角度不同,企業或組織須建立個資或資安之管理制度、內部控制或稽核作業程序、規範或機制,違反者將負一定責任,故法令之遵循不可不慎。
去年8月間,兆豐銀行紐約分行因違反美國紐約州對洗錢防制之規定,遭罰款美金1.8億元之案件,震驚我國主管機關及相關金融機構。一時之間,突顯出法令遵循之重要性,各大金融機構陸續投入人員考照、設備升級,並對外宣布將強化內部法遵宣導、作業程序或資訊設備等。當時,金融監督管理委員會(簡稱金管會)也強調在今(2017)年將加強金融檢查,且重點會放在防洗錢、法規遵循制度、資通安全管理、金融消費者保護及個資保護等項目;迄今相關工作正如火如荼地進行。

前述一連串的作業,讓個資、資安從業人員頓時廣受金融業及相關行業的青睞。其中除了反洗錢、金融消費者保護及個資保護皆已有相關法令,如洗錢防制法、金融消費者保護法、個人資料保護法等規範外,為落實資通安全管理、防範或降低可能之風險(最著名之案例或為2016年7月間第一銀行ATM遭駭客入侵,盜領新臺幣8千多萬元乙案;本案經最高法院106年度台上字第2603號刑事判決定讞,被告等人因妨害電腦使用等罪分處有期徒刑4年多不等),金管會尚於今年2月間邀集本國銀行召開相關會議,期許在6個月內,各國籍銀行應設置資安專責單位及資安專責主管。

同年5月金管會更對外表示,將委外成立金融資安中心(全名暫訂為金融資安資訊分享與分析中心,Financial Information Sharing and Analysis Center,F-ISAC),希冀發揮平台功能,協助主管機關或業者進行預警、聯防與應變等。然而,偶有聽聞論者或以為做好資訊安全即可同時保護個資,從法令遵循的觀點出發,實有釐清之必要。

個資vs資安 釐清與說明

關於資訊安全之內涵,多數係以保護企業或組織之資訊資產為主,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊/資產的機密性、完整性、可用性,及維持組織之營運或將風險降低。而個人資料,依據我國個人資料保護法(以下簡稱個資法)第2條的定義,指自然人之姓名、出生年月日、國民身分證統一編號等等,及其他得以直接或間接方式識別該個人之資料。然而,個人資料或許可能作為企業或組織內部之資訊資產,但兩者在保護之法益及法令遵循的需求皆有所不同。

承上,個資法要權衡的是避免人格權受侵害,以及促進資料的合理利用,與資訊安全透過軟、硬體之技術手段保護資產的角度不同,個資法更加強調法令遵循之管理與保護。因此,在保障當事人方面,個資法設計有對個資蒐集主體的要求,如蒐集前之告知,蒐集、處理或利用相關要件,當事人權利之行使,事故時之通知等;而合理運用部分,企業或組織可於特定目的範圍內及符合法定情形下進行蒐集、處理或利用,都是必須遵守的規定。

適用法規不同 責任也有所差異

個資、資安因適用法規不同,在法律責任上將有所差異。舉例而言,若違反個資法,不論公務、非公務機關或行為人,可能會負有行政、刑事或民事責任;而資安方面可能會涉及金融法規或內稽內控等規定。

以個資法為例,非公務機關若違反該法要求之個資檔案安全維護相關規定,造成個資外洩,除當事人可請求損害賠償,或有無意圖為自己或第三人不法之利益等,涉民事之責任外,中央目的事業主管機關或直轄市、縣(市)政府尚可要求非公務機關限期改正,屆期未改正者,按次可處2萬元以上20萬元以下罰鍰。

更嚴重之情節,如非公務機關違反個資蒐集、處理或利用之規定,主管機關更可處5萬元以上50萬元以下罰鍰。此外也別忘記,個資法還有團體訴訟的規定,對於同一事實造成多數當事人權利受侵害之事件,在損害賠償部分,合計最高總額為2億元。

而在資訊安全部分,行政院資通安全處(2016年8月1日成立)提出之資通安全管理法尚未完成立法,在暫無專法的階段,國內企業或組織違反資安規定,多依其他相關法令論處,如前述一銀ATM遭詐領案,金管會係以該行違反銀行法第45條之1第1項規定(主要係要求銀行應建立內部控制及稽核制度,但細部規定由金管會另定之),依同法第129條第7款規定,核處1,000萬元罰鍰。

依目前金管會之規範體系,針對不同行業,分別訂有其內部控制及稽核制度實施辦法,以銀行業為例,該實施辦法第38條第5款規定,銀行業之風險控管機制應包含應對業務或交易、資訊交互運用等建立資訊安全防護機制及緊急應變計畫。如前所述,若有違反者依銀行法第129條第7款規定,可處200萬元以上1,000萬元以下罰鍰。

有別產業自主管理

因意識到有關之法律責任,或有企業或組織規劃導入個資、資安管理制度,並預計通過相關標準驗證。依標準法第4條規定:「國家標準採自願性方式實施。但經各該目的事業主管機關引用全部或部分內容為法規者,從其規定。」基此,坊間業者號稱國際標準或國家標準,依法均非為強制性要求,多係產業自主管理之內容;然如相關法令已明文規定,像是個資法或是銀行法等,企業或組織須建立個資或資安之管理制度、內部控制或稽核作業程序、規範或機制,違反者將負一定責任,故法令之遵循不可不慎。

綜合個資法及金融法規觀之,建議企業或組織切莫以為資安等同於個資,且為確實符合我國個資法及相關法令之規範,針對個人資料檔案安全措施或維護計畫之內容,如告知事項,個資盤點及風險評估,事故之預防、通報及應變,或委外監督等具體要求,應建立一定作業程序或機制,並落實內部控制或稽核,甚至規劃取得具公信力之資料隱私保護標章(dp.mark),以恪遵相關法令。

<本文作者:陳宏志現於資策會科法所擔任專案經理,目前專注在個人資料保護與管理、反托拉斯法及協處我國廠商至國外營運遭遇之法制風險等議題。資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!