最近更新文章
2018/11/17
TYAN 發佈 Intel Xeon E-2100 處理器優化的入門級伺服
2018/11/17
BitoPro X NEM 聯手打造公鏈新時代
2018/11/16
遠傳電信加入 DOCOMO亞洲物聯網計畫
2018/11/16
資策會耕耘智慧製造、智慧交通、AI資安成果豐
2018/11/16
台灣大攜手 Nokia 完成5G與終端互連互配 見證1.6Gbps速率
2018/11/16
成長型企業常見課題 資料中心從自建到雲端
2018/11/15
Aruba創新AI行動安全技術 實現最佳邊緣運算體驗
2018/11/15
2018年紅帽亞太區創新獎:國泰世華銀行與台灣期貨交易所
2018/11/15
F-Secure 收購 MWR 提高產品的檢測及回應能力
2018/11/15
模組化資料中心具彈性 IT與OT融合成進行式
2018/11/14
Intel XMM 8160 5G 多模數據機晶片組上市時程提前
2018/11/14
威聯通專為機器學習打造一站式 TS-2888X AI-Ready NAS
2018/11/14
走向零廢棄 UL認證標準協助企業迎接循環經濟
2018/11/14
台北金融科技展:創造金融與消費生活的新連結
2018/11/14
Account was hacked!你收到恐嚇信了嗎?
2018/11/14
五大要領做好雲部署準備
2018/11/14
強化邊緣運算競爭力 智慧儲存位居要角
2018/11/13
超過80%新電腦裝載盜版軟體、並遭惡意軟體侵害
2018/11/13
Fortinet 收購 ZoneFox 強化內部威脅分析能力
2018/11/13
希捷結合IBM運用區塊鏈 打擊硬碟偽造問題
2018/11/13
確實做好認證機制 點對點協定使用無虞
2018/11/13
無線設備搶鮮802.11 ax 解決高密度連網環境干擾
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/10/17

判斷個人資料合理運用 新加坡經驗可參考比較

何謂適當安全維護措施 個資法無具體規定

何念修
面對頻繁發生的個資外洩事故,必須保障個資並促進資料合理運用,新加坡個人資料保護委員會(PDPC)在今年8月做出一個行政決定,或許可以讓我們比較看看兩國法制的異同,以及其他國家的主管機關是如何看待廠商所謂的「適當安全維護措施」。
隨著網路的發展,相關應用已經影響我們的生活。日常之食衣住行早已離不開網路,也因為如此,個人資料保護與資訊安全成為企業經營者及消費者都非常重視的議題。

面對頻繁發生的個資外洩事故,為保障個人資料及促進資料的合理運用等,參酌國際相關立法例,我國個人資料保護法(以下簡稱個資法)已於民國(以下同)101年10月1日施行,並於105年3月15日修正。

目前我國個資法對於公務機關或非公務機關整體之個資保護安全措施,其目的可參見個資法第27條之規定,重點在於防止個資被竊取、竄改、毀損、滅失或洩漏,而具體內容以施行細則第12條為主,包含組織層面的人員及資源配置、公司管理層面的個資管理程序、事故通報機制,物理層面的資料安全管理與設備安全管理等11大事項;這些規範即是主管機關作為判斷企業經營者是否有落實法規中所謂「適當安全維護措施」的參考。

舉例而言,因駭客入侵造成個資外洩,消費者接到詐騙電話,憤而向165陳情或向法院提出訴訟。此時,企業經營者常以「我們已經依法令要求落實個資管理,是駭客功力太高,防不勝防……」為由,認為自己已符合「適當安全維護措施」。

今年8月間,新加坡個資主管機關「新加坡個人資料保護委員會(Personal Data Protection Commission,PDPC)」做出一個行政決定,或許可以讓我們比較看看兩國法制的異同,以及其他國家的主管機關是如何看待廠商所謂的「適當安全維護措施」。

新加坡Dimsum Property案例說明

Dimsum Property公司係新加坡網站www.snappyhouse.com.sg的經營者,該平台主要服務是讓當地房屋所有權人得以直接出售或是出租房子給他人,類似我國591等網站。因此,Dimsum Property公司透過該平台蒐集和儲存許多用戶的資料,包括註冊用戶上傳該網站以作為他們的個人資料頭像的照片(除了個人照片之外,還包括一張用戶護照的照片),以及註冊用戶上傳以進行驗證的身分證件照片。

重要的是,這些照片儲存在平台網頁內,並且可以在網路上公開造訪,亦即公眾可以查閱網頁上的護照照片和身分證明文件照片,所揭露的個資包括個人姓名、照片、地址、護照號碼、身分證號碼、指紋、出生日期、出生地、性別、國籍、護照簽發日期╱到期日等。

也因為該網站提供許多個人資料,而有位消費者發現相關個資任何人都可以讀取,沒有控管機制。

經消費者投訴後,新加坡個人資料保護委員會(PDPC)啟動調查,並於今年8月對Dimsum Property發出警告,指出其未實施合理的安全措施,以防止未經授權瀏覽儲存在網頁目錄中的個人資料。

新加坡廠商回覆及其主管機關之處理

Dimsum Property公司表示,原本該公司聘用外部廠商進行設計和開發網站,且網站是於104(2015)年11月完成,但並未將個人資料轉移到開發網站的廠商處。

自同年11月開始,該公司自行聘請內部開發人員處理網站之管理,但是自105(2016)年7月起就沒有進一步的更新或開發,用戶持續在網站上註冊並使用網站的功能。

由於Dimsum Property公司擁有和控制出現在網頁上的個人資料,因此必須遵循新加坡101(2012)年個人資料保護法(PDPA)第24條「應提供合理的安全保障」之要求,包括防止個人資料遭到未經授權的存取(Unauthorized Access)。

此外,保護義務沒有延伸到該公司所委託的外部廠商,蓋該外部廠商並未代替該公司處理任何個人資料,因此其並非資料中介者(Data Intermediary),因此該公司自行承擔對其網站和個人資料技術安全的全部責任。

至於該公司是否有合理的安全保障以保護其所擁有和控制的客戶個人資料,新加坡PDPC認為其未意識到其負有法律義務,應保護儲存在網頁目錄中的個人資料,因而未能實施合理的安全措施。該公司應實施存取控制(Access Controls)來限制上開網頁的存取,從而保護個人資料僅對經授權的使用者開放。

最後,新加坡PDPC認為該組織因為沒有落實合理的安全保護措施,違反該國個人資料保護法第24條,但是考量到該公司已經迅速刪除會被公眾取得的個資、受影響的人數和違法的影響,以及其已經停止營運該網站,因此新加坡PDPC並沒有給予進一步的罰鍰或處分。

新加坡對於安全措施之例示

參考新加坡PDPC對於該國個資法關鍵概念的諮詢指南(PDPC’s Advisory Guidelines on Key Concepts in the PDPA,“Advisory Guidelines”)第17.5條說明:「安全措施可採取各種形式,如行政措施、物理措施、技術措施或這些措施的組合。」並舉例說明這三種措施如表1所示。

表1 行政措施、物理措施、技術措施內容比較


儘管在上開諮詢指南(Advisory Guidelines)中提到「技術措施」這個名詞,但新加坡個資法和PDPC指南都沒有定義何謂技術措施。其僅於該諮詢指南提供例示,內容包括:電腦網路和應用程序安全性、個人資料加密、實施適當存取控制,以及確保外包IT服務提供商可以提供必要的IT安全標準。且鑑於現有技術措施的多種選擇和組合,技術合規的三階段判斷包括:設計安全性、適當的實施範圍、定期維護以及更新。

新加坡PDPC認為技術措施必須首先了解組織所儲存的個人資料的類型和敏感性,以及以系統架構設計為重點的安全方法。 接下來,組織必須通過漏洞評估識別系統相關的特定安全風險,並隨後實施適當範圍的技術措施,以便在系統啟動之前解決潛在的漏洞。

最後,組織必須透過定期測試和定期修補來持續維護和維護其系統,以確保新發現的漏洞不會危害系統。

落實我國個資法的適當安全維護措施

相較於新加坡,在我國,所謂「適當之安全措施」,雖於個資法施行細則第12條第2項已羅列11大事項,如本文前言所述,此項僅係例示規定,且因有「比例原則」等作為業者有否實施「適當」安全措施之標準,企業經營者實際上應如何保護個資,投入多少資源成本、個資保護應做到什麼程度才恰當,僅從法條文字以觀,實無標準可資評判。


▲對於「適當安全維護措施」,我國個資相關法令內無具體規定。


此外,自個資法施行後,針對個人資料檔案安全維護規範,我國各部會如中央銀行、內政部、交通部、金管會、勞動部、經濟部、財政部、教育部等,迄今已陸續發布之30多項法規命令,如「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」,規範包含非公務機關之個人資料保護之規劃、個人資料之管理程序及措施、個人資料之安全稽核、紀錄保存及持續改善機制等。這些法規命令對於企業或組織落實個資法亦可供作部分參考,如非公務機關應依其業務規模及特性,配置管理之人員及相當資源,以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法等。

以經濟部商業司為例,其於104年9月頒佈「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」後,委託資策會資安所與科法所分別訂定網路零售業資安基本查核表(105年)與網際網路零售業者個人資料保護與管理自我評核表(106年),前者係按照上開作業辦法,以人員、作業、技術及設備等四大類別,依序展開資安基本防護的四十項控制措施,並提供作業建議及應注意事項,而後者目的則在於協助業者展開個人資料保護與管理之控制措施。

綜上所述,對於「適當安全維護措施」,我國個資相關法令內無具體規定,然參考主管機關所提供類似指引或相關參考文件,亦即若業者要判斷具體執行內容是否符合法令規範,究竟要提供文件或資料至何種程度,或可參考該自我評核表中的說明與參考範例,以大致瞭解主管機關欲查核之內容,以利建置內部管理制度或相關法令遵循措施之規劃。

<資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。本文作者何念修律師,現為資策會科法所法律研究員,目前專注在個人資料保護與管理、資安法制以及解決企業國際營運法制風險等議題。>

這篇文章讓你覺得滿意不滿意
送出
相關文章
從股東會到公投連署 選舉也須合法使用個資
監看錄影程式成洩密管道 循線偵查破解數位跡證
臉書映出企業個資危機 現況不改必遭GDPR重罰
看懂個資侵害通報規定 GDPR重點深度解析
釐清控管者與處理者角色 資料跨境傳輸確保合規
留言
顯示暱稱:
留言內容:
送出