PDPC指南 個資管理 個資外洩 資訊安全 實體安全 個資法

何謂適當安全維護措施 個資法無具體規定

2018-10-17
面對頻繁發生的個資外洩事故,必須保障個資並促進資料合理運用,新加坡個人資料保護委員會(PDPC)在今年8月做出一個行政決定,或許可以讓我們比較看看兩國法制的異同,以及其他國家的主管機關是如何看待廠商所謂的「適當安全維護措施」。
隨著網路的發展,相關應用已經影響我們的生活。日常之食衣住行早已離不開網路,也因為如此,個人資料保護與資訊安全成為企業經營者及消費者都非常重視的議題。

面對頻繁發生的個資外洩事故,為保障個人資料及促進資料的合理運用等,參酌國際相關立法例,我國個人資料保護法(以下簡稱個資法)已於民國(以下同)101年10月1日施行,並於105年3月15日修正。

目前我國個資法對於公務機關或非公務機關整體之個資保護安全措施,其目的可參見個資法第27條之規定,重點在於防止個資被竊取、竄改、毀損、滅失或洩漏,而具體內容以施行細則第12條為主,包含組織層面的人員及資源配置、公司管理層面的個資管理程序、事故通報機制,物理層面的資料安全管理與設備安全管理等11大事項;這些規範即是主管機關作為判斷企業經營者是否有落實法規中所謂「適當安全維護措施」的參考。

舉例而言,因駭客入侵造成個資外洩,消費者接到詐騙電話,憤而向165陳情或向法院提出訴訟。此時,企業經營者常以「我們已經依法令要求落實個資管理,是駭客功力太高,防不勝防……」為由,認為自己已符合「適當安全維護措施」。

今年8月間,新加坡個資主管機關「新加坡個人資料保護委員會(Personal Data Protection Commission,PDPC)」做出一個行政決定,或許可以讓我們比較看看兩國法制的異同,以及其他國家的主管機關是如何看待廠商所謂的「適當安全維護措施」。

新加坡Dimsum Property案例說明

Dimsum Property公司係新加坡網站www.snappyhouse.com.sg的經營者,該平台主要服務是讓當地房屋所有權人得以直接出售或是出租房子給他人,類似我國591等網站。因此,Dimsum Property公司透過該平台蒐集和儲存許多用戶的資料,包括註冊用戶上傳該網站以作為他們的個人資料頭像的照片(除了個人照片之外,還包括一張用戶護照的照片),以及註冊用戶上傳以進行驗證的身分證件照片。

重要的是,這些照片儲存在平台網頁內,並且可以在網路上公開造訪,亦即公眾可以查閱網頁上的護照照片和身分證明文件照片,所揭露的個資包括個人姓名、照片、地址、護照號碼、身分證號碼、指紋、出生日期、出生地、性別、國籍、護照簽發日期╱到期日等。

也因為該網站提供許多個人資料,而有位消費者發現相關個資任何人都可以讀取,沒有控管機制。

經消費者投訴後,新加坡個人資料保護委員會(PDPC)啟動調查,並於今年8月對Dimsum Property發出警告,指出其未實施合理的安全措施,以防止未經授權瀏覽儲存在網頁目錄中的個人資料。

新加坡廠商回覆及其主管機關之處理

Dimsum Property公司表示,原本該公司聘用外部廠商進行設計和開發網站,且網站是於104(2015)年11月完成,但並未將個人資料轉移到開發網站的廠商處。

自同年11月開始,該公司自行聘請內部開發人員處理網站之管理,但是自105(2016)年7月起就沒有進一步的更新或開發,用戶持續在網站上註冊並使用網站的功能。

由於Dimsum Property公司擁有和控制出現在網頁上的個人資料,因此必須遵循新加坡101(2012)年個人資料保護法(PDPA)第24條「應提供合理的安全保障」之要求,包括防止個人資料遭到未經授權的存取(Unauthorized Access)。

此外,保護義務沒有延伸到該公司所委託的外部廠商,蓋該外部廠商並未代替該公司處理任何個人資料,因此其並非資料中介者(Data Intermediary),因此該公司自行承擔對其網站和個人資料技術安全的全部責任。

至於該公司是否有合理的安全保障以保護其所擁有和控制的客戶個人資料,新加坡PDPC認為其未意識到其負有法律義務,應保護儲存在網頁目錄中的個人資料,因而未能實施合理的安全措施。該公司應實施存取控制(Access Controls)來限制上開網頁的存取,從而保護個人資料僅對經授權的使用者開放。

最後,新加坡PDPC認為該組織因為沒有落實合理的安全保護措施,違反該國個人資料保護法第24條,但是考量到該公司已經迅速刪除會被公眾取得的個資、受影響的人數和違法的影響,以及其已經停止營運該網站,因此新加坡PDPC並沒有給予進一步的罰鍰或處分。

新加坡對於安全措施之例示

參考新加坡PDPC對於該國個資法關鍵概念的諮詢指南(PDPC’s Advisory Guidelines on Key Concepts in the PDPA,“Advisory Guidelines”)第17.5條說明:「安全措施可採取各種形式,如行政措施、物理措施、技術措施或這些措施的組合。」並舉例說明這三種措施如表1所示。

表1 行政措施、物理措施、技術措施內容比較

儘管在上開諮詢指南(Advisory Guidelines)中提到「技術措施」這個名詞,但新加坡個資法和PDPC指南都沒有定義何謂技術措施。其僅於該諮詢指南提供例示,內容包括:電腦網路和應用程序安全性、個人資料加密、實施適當存取控制,以及確保外包IT服務提供商可以提供必要的IT安全標準。且鑑於現有技術措施的多種選擇和組合,技術合規的三階段判斷包括:設計安全性、適當的實施範圍、定期維護以及更新。

新加坡PDPC認為技術措施必須首先了解組織所儲存的個人資料的類型和敏感性,以及以系統架構設計為重點的安全方法。 接下來,組織必須通過漏洞評估識別系統相關的特定安全風險,並隨後實施適當範圍的技術措施,以便在系統啟動之前解決潛在的漏洞。

最後,組織必須透過定期測試和定期修補來持續維護和維護其系統,以確保新發現的漏洞不會危害系統。

落實我國個資法的適當安全維護措施

相較於新加坡,在我國,所謂「適當之安全措施」,雖於個資法施行細則第12條第2項已羅列11大事項,如本文前言所述,此項僅係例示規定,且因有「比例原則」等作為業者有否實施「適當」安全措施之標準,企業經營者實際上應如何保護個資,投入多少資源成本、個資保護應做到什麼程度才恰當,僅從法條文字以觀,實無標準可資評判。


▲對於「適當安全維護措施」,我國個資相關法令內無具體規定。

此外,自個資法施行後,針對個人資料檔案安全維護規範,我國各部會如中央銀行、內政部、交通部、金管會、勞動部、經濟部、財政部、教育部等,迄今已陸續發布之30多項法規命令,如「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」,規範包含非公務機關之個人資料保護之規劃、個人資料之管理程序及措施、個人資料之安全稽核、紀錄保存及持續改善機制等。這些法規命令對於企業或組織落實個資法亦可供作部分參考,如非公務機關應依其業務規模及特性,配置管理之人員及相當資源,以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法等。

以經濟部商業司為例,其於104年9月頒佈「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」後,委託資策會資安所與科法所分別訂定網路零售業資安基本查核表(105年)與網際網路零售業者個人資料保護與管理自我評核表(106年),前者係按照上開作業辦法,以人員、作業、技術及設備等四大類別,依序展開資安基本防護的四十項控制措施,並提供作業建議及應注意事項,而後者目的則在於協助業者展開個人資料保護與管理之控制措施。

綜上所述,對於「適當安全維護措施」,我國個資相關法令內無具體規定,然參考主管機關所提供類似指引或相關參考文件,亦即若業者要判斷具體執行內容是否符合法令規範,究竟要提供文件或資料至何種程度,或可參考該自我評核表中的說明與參考範例,以大致瞭解主管機關欲查核之內容,以利建置內部管理制度或相關法令遵循措施之規劃。

<資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。本文作者何念修律師,現為資策會科法所法律研究員,目前專注在個人資料保護與管理、資安法制以及解決企業國際營運法制風險等議題。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!