Information Forensics 中央警察大學資訊密碼暨建構實驗室 達文西個資暨高科技法律事務所 Security auditor DP mark BS10012 TPIPAS TUViT 資訊安全 法規遵循 數位鑑識 數位證據 鑒真數位 TSP 資策會 個資法 稽核 標章

資安軟硬體難提供適法性 從法律面切入因應個資法

2012-04-09
許多企業對於新版個資法可說是如臨大敵卻又不知所措,從公佈新法至今,包括各項國際資安驗證機制、資訊安全與資料保護解決方案等等,皆成為企業因應新版個資法的藥方,然而此種法規遵循措施,不只在於技術面以及管理面,在法律面是否具備適法性,也是一大重點。
隨著時代推進,為了提高個人資料與隱私保護,確保個人資料合理利用,同時擴大保護範圍,民國99年政府即公佈電腦處理個人資料保護法修正草案,並修正名稱為「個人資料保護法」(坊間多稱新版個資法以與舊法區別),而在去年底,法務部終於完成並預告施行細則草案,預告期間收集各方意見,以作為進一步修改的參考依據。

而新版個資法施行最新進程,根據法務部法律事務司個人資料保護法專案小組業務科長表示,目前法務部正在根據彙整出來的各方意見,撰寫初期評估報告,預計要在兩個月之內將評估報告陳報給行政院進行審查與指示後,方能進一步確認相關細節以及其所能公布的資訊。

該業務科長同時強調,外界或許傳聞新版個資法將在今年7月1日正式上路云云,然而施行日期尚待行政院決策,目前個人資料保護法施行時間並未確定,「行政院第3286次會議院長指示,請法務部參酌各界意見,就本案相關問題、因應對策及後續處理建議,於兩個月內完成評估報告,並請羅政務委員瑩雪會同張政務委員善政邀集相關機關研處,以求周全。」

雖然新版個資法施行細則尚未正式底定與公佈,然而直至目前為止,新版個資法的輪廓樣貌已愈發清晰。與舊法最大的差異即在於,過去僅針對八類行業與電腦處理相關資料,新法將擴及所有一般企業,保護客體也從電腦處理相關資料延伸到所有個人資料,並且針對資料的蒐集、處理與利用皆有所規範。 此外,對於企業而言最大的影響還在於須擔負舉證責任,也就是說,企業進行個人資料蒐集、處理以及利用時,皆必須證明已提出告知、取得當事人同意、並且善盡管理責任等舉證。

在得知新法將大幅增加企業保護個人資料義務,卻又還等不到施行細則的現況下,許多企業對於新版個資法可說是如臨大敵卻又不知所措,從公佈新法至今,包括各項國際資安驗證機制、資訊安全與資料保護解決方案等等,皆成為企業因應新版個資法的藥方。


▲面對新版個資法,企業可透過瞭解數位鑑識的樣貌,進而在面臨法令規範與糾紛訴訟時,採取較有利於法律訴訟的因應措施。(圖片提供:鑒真數位)

然而,多數企業仍持觀望態度,或因不知道該從何進行、或因缺乏因應的成本預算,或者是想要等到施行細則出爐,甚至是出現第一筆法律訴訟案件,才有因應的驅動力。

不過,專家顧問皆認為,企業仍須及早開始動作因應,才能避免新法正式上路之後,得擔負鉅額賠償(民事賠償最高達新台幣兩億元)的風險。達文西個資暨高科技法律事務所主持律師葉奇鑫表示:「尤其個資盤點往往是最耗時間的環節,根據經驗,至少需要幾個月以上的時間,因此建議企業及早開始進行個資盤點,才可能趕得上新法實施。」

從驗證標章開始著手

為了能夠確保企業保護資料的現況符合法令規範,不少企業從國際資安或個資驗證制度開始進行自我檢視與調整,較為人所知的包括資安管理制度ISO 27001、或英國標準協會BSI所推出的英國個人資料保護制度BS 10012,都能夠協助企業在一定程度範圍之內進行個資與資安查檢,然而,因應本國新版個資法,這些國際驗證制度是否完全符合新法的規範要求,則是企業在導入國際驗證時,仍抱持的疑惑。

「這也就是適法性的問題。」葉奇鑫表示,在協助企業進行查檢的過程,發現通過ISO 27001的組織,仍有將近50%查檢項目不符合新法與施行細則草案規範,「導入查檢驗證,不只從技術面以及管理面來進行查檢,在法律面是否具備適法性,也是一大重點。」而在法律、管理與技術面之必要項查檢過後,可由律師再針對可改善之項目,提出適法性查檢意見,讓企業做進一步修改與調整,以達到符合法令要求。

同樣為了新法的適法性需求,經濟部也委託資策會擬定專為新版個資法所設計的驗證制度與標章,資策會科技法律研究所科技應用法制中心主任邱映曦表示,從去年開始,企業在研討因應新版個資法的心態與方式已開始轉變,「從原本認為只要採購資安軟硬體設備來佈署就能加以因應的心態,到現在已逐漸認識到因應新版個資法,必須從流程面以及管理面來進行,也因此,結合企業管理流程的驗證制度與標章,便能夠協助企業檢查缺失並進行改善。」

邱映曦表示,無論採用何種方式或是驗證制度來因應法規要求,都可能還是有不足之處,然而新版個資法更重要的意義在於促使企業重新思考個人資料的蒐集、處理與利用的合理性,以及提高對個人隱私的尊重,「無論是國際驗證標準或國內自行研擬出來的認證標章,其協助企業因應新版法規遵循的目標是一致的,重點還是在於企業的認知與心態,以及實際行動因應。」

認識數位鑑識

除了針對個人資料的查檢與盤點之外,當新版個資法通過之後,針對數位資料進行蒐證與分析的數位鑑識領域,也將會受到關注與需求成長,葉奇鑫表示,當新版個資法上路之後,個資相關訴訟案件將會層出不窮,而具法律效力的數位證據,將會是訴訟案件的關鍵之一。

對此,鑒真數位資深鑑識顧問黃敬博表示,企業可先從「認識」數位鑑識開始,瞭解何謂數位鑑識、其能為企業在遭遇法律訴訟時帶來哪些協助,進一步建立認知,確保在事件發生第一時間,採取正確的步驟來保全數位證據。

黃敬博表示,雖然數位鑑識本身是一門複雜的學問,但企業仍可以透過瞭解數位鑑識的樣貌,進而在面臨法令規範與糾紛訴訟時,採取較有利於法律訴訟的因應措施,他進一步建議:「首先企業可先透過教育訓練的方式,讓員工瞭解數位鑑識與新版個資法之間的關係,建立正確認知與觀念;接著檢視企業內部環境,考慮可加強稽核的環節,事前保存稽核資料,以利於數位鑑識蒐證;然後掌握事發第一時間的事件處置方式,保存具法律效力的證據;最後甚至還可進一步考慮培養相關人才,提供初階分析能力。」


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!