現行法制對於公開發行公司與金融業者均有要求建立內部控制制度,目的在於促進企業健全經營,以合理確保營運之效果及效率、財務報導之可靠性,以及相關法令規章之遵循等目標的達成。
今年(2016)爆發的第一銀行ATM遭駭盜款案與兆豐銀行防制洗錢疏失案,不僅反映出在高風險社會中資訊安全與法令遵循的困難度,更凸顯了企業內部控制應予落實的重要性。個資保護也是屬於企業內控的重點項目,亦與資安及法規遵循息息相關,應予妥善規劃處理。
個資保護與內控制度
隨著網路通訊技術進步及電子行動商務風行,蘊藏無限商機的客戶個資透過大數據分析採礦可進而轉化變現,此所以許多好康免費的商品或服務,其實是以具有數位貨幣性質的個資做對價來交換,而一般商業行銷與交易也都會涉及客戶個資的運用。惟個資外洩事件卻會損害企業商譽與信用,因此個資保護亦為企業內控的重點。
金管會制頒之公開發行公司建立內部控制制度處理準則乃將個資保護之管理列為公開發行公司內控作業之重點項目,而金融消費者保護法也規定金融服務業者應將包括瞭解客戶、風險告知及個資保護等事項,納入其內部控制及稽核制度,並確實執行。一般企業對個資保護議題亦不容忽視,宜建立適當之內控制度。
現行法制對於公開發行公司與金融業者均有要求建立內部控制制度,金管會另有函釋指出內部控制有三道防線,第一道防線是自行查核,第二道防線是法令遵循與風險管理,第三道防線是內部稽核。為使內部控制制度能有效及適當的運作,由第一道、第二道防線進行風險監控,第三道防線進行獨立監督,三道防線各司其職。
與個資保護密切相關的法律是個人資料保護法,因此個資保護之內控作業即須注意個資法之遵循。
個資法對個資提供更確實的保障(包括行政、民事以及刑事救濟管道),且對各行各業以及所有民眾如何蒐集、處理及利用個資將產生重大影響。企業為符合個資法規定,除須善盡告知義務以取得個人同意而蒐集或處理個資之外,亦有必要建置「個資安全措施」以防範個資外洩,特別是近來層出不窮的駭客入侵事件。個資法第27條即規定:非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏,此即涉及資安之維護。
第一銀行ATM遭駭盜款案與兆豐銀行防制洗錢疏失案同樣與金流有關,前者是資金流到外賊,後者是資金流到疑似洗錢的客戶所指定之帳戶,而金流亦與資訊流之管制有關(如異常情狀之發現與通報),上開兩案均呈現企業內控缺失,應可作為企業對個資保護內控作業改進的參考。
第一銀行ATM遭駭盜款案
第一銀行於今年7月10日至11日間發生多台ATM遭駭客以植入惡意程式,並啟動該程式直接控制ATM鈔箱吐鈔之方式盜領現金。該行於7月11日清查並陸續發現全行ATM現金短缺之分行共計22家,共41台ATM發生異常,短缺金額合計新台幣8,327萬餘元。
上開事實經金管會調查後認定第一銀行之資安維護有內控作業疏失,乃於今年9月間對第一銀行裁罰新台幣1千萬元,主要理由為該行於ATM監控系統已記錄到「鈔券已用罄」及「結存尚有多張鈔券」同時並存之不合理情形時,未能立即因應處理;另核有未落實ATM之維修及監視錄影資料保存作業、未確實建立ATM異常提領監控機制、對ATM系統安全控管及網路資安防護不足,顯示該行未採行或未落實妥適之ATM異常交易監控機制及對資訊安全之內部控制制度。
兆豐銀行防制洗錢疏失案
金管會於今年9月間對兆豐銀行罰款新台幣1千萬元並解除數位涉案主管職務,該案係源起於兆豐銀行今年8月19日遭紐約州金融署(DFS)裁罰美金1.8億元,主因為兆豐銀行紐約分行未依美國洗錢防制相關法令對客戶確實查核,亦未申報客戶往來於巴拿馬分行間有疑似洗錢之交易,且相關人員對政府機關之金融檢查有所輕忽等因素。
金管會則係以兆豐銀行之經營管理及處理過程未落實建立及未確實執行內控制度而加以處罰,就兆豐銀行對個案處理之缺失則指出:(1) 法令遵循人員之工作安排有職務衝突,且未充分瞭解防制洗錢法令規範;(2) 負責海外分行管理之企劃處及稽核部門於知悉重大事件及重大缺失時,未充分及時提報董事會,未能落實公司治理;(3) 總行欠缺與DFS聯繫溝通,致未能有效減少DFS之疑慮;(4) 回覆主管機關信函陳述不實。
個資保護內控制度之精進
上開二件震驚社會的銀行內控缺失案例,可作為企業就個資保護內控制度精進之參考。在資訊安全方面,企業應依個資法及業界標準之作業準則訂立企業內部之資訊安全控管規範,並定期檢討該規範之妥適性。同時,企業也需確實依其資訊安全控管規範採購及維護相關之資安軟硬體設備,並落實人員教育訓練。
對於高度敏感性之資訊設備應特別強化監控、檢測及應變處理,定期辦理資安防護演練。為避免內部作業盲點,視個別情況得委託外部資安團隊對企業內部資安措施做出評估與改進建議。另外,資安設施也應對資訊流應具有追蹤及警示功能,以利危安事件之事前預防與事後查緝。
而在法令遵循方面,企業應有專人處理個資保護之議題,如企業規模較小,該專人得由法務或人資 主管兼職,但不宜兼職商業職務,以免利益衝突。而負責個資保護之人員應接受相關之法律及實務專業訓練,並獲取相關資格證照。
企業內部關於個資保護作業應確保符合相關法令規範,就個資危安事件之發生應立即通報企業高層,並儘速做出適當之處理。個資保護可能會與洗錢防制法、資恐防制法(針對恐怖活動之資助)等產生規範衝突,應注意各種法令之協調與處理機制。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>