新版《個人資料保護法》112年5月公布施行 對企業違法行為可直接開罰最高達1500萬
《個人資料保護法》(以下稱個資法)自99年公布及104年俢正至今已行之多年,112年5月16日立法院三讀通過新版個資法(簡稱個資法3.0),112年5月31日公布並施行,此版行政處罰力道之重,將其稱為個資法3.0威力加強版一點都不為過。近期社會關切之重大矚目個人資料外洩案件,例如華航、格上租車以及iRent等公司發生個資外洩事件,為回應各界對企業違反安全維護義務罰責過低的聲浪,且對企業採先命改正後處罰的消極規範,無法責成企業強化個人資料安全維護作為,促使企業重視且加強投入人力、技術及成本實施各類防護措施,落實保護持有個人資料之責任。本次修法改變最主要的影響是行政機關無需等企業完成改正,即可視企業違法情節輕重直接開罰最高達1500萬,將違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命改正,並提高罰鍰上限,處2萬元以上200萬元以下罰鍰;情節重大者,處15萬元以上1,500萬元以下罰鍰。屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰。
完善個資檔案安全維護計畫與安全措施 形塑企業個資保護內部控制三道防線
任何持有個人資料的企業對個資法3.0都不應等閒視之,尤其是營運活動涉及大量蒐集、處理、利用個人資料的企業,更應加強檢視自身「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」訂定的完整性,以及落實執行情況,確保保有個人資料檔案的企業,為達成個人資料保護目的,防止個人資料被竊取、竄改、毀損、滅失或洩漏,已依企業自身規模、持有個人資料數量、種類(如:病歷、醫療、基因、性生活、健康檢查及犯罪前科之特種個人資料)等不同情況,依比例原則適當採取技術上及組織上相關安全措施,包括(一)配置管理之人員及相當資源;(二)界定個人資料之範圍;(三)個人資料之風險評估及管理機制;(四)事故之預防、通報及應變機制;(五)個人資料蒐集、處理及利用之內部管理程序;(六)資料安全管理及人員管理;(七)認知宣導及教育訓練;(八)設備安全管理;(九)資料安全稽核機制;(十)使用紀錄、軌跡資料及證據保存;(十一)個人資料安全維護之整體持續改善。常言道「他山之石,可以攻錯」,金融服務業因持有大量特種個資,且長久以來為金管會高度監理行業,在個資保護機制在監理要求下,具備更完整的安全措施,除上述安全措施外,另要求針對電子商務系統建立防止外部外網入侵對策、監控異常使用或非法行為,以及相關因應、演練、檢討、改善機制,並加強管理人員權責和權限,且定期自我評估個資安全維護執行情況,形塑企業有效保護個資的內部控制三道防線(包括內控自行評估制度、法令遵循與風險管理制度、內部稽核制度),一般企業除了遵循個資法及個資法施行細則規範內容外,亦可檢視自身所處風險環境參考學習採納。 (相關報導: 觀點投書:政治與喜劇的交錯─賀瓏夜夜秀引起的社會價值討論 | 更多文章 )
建立個資外洩風險管理制度 推動管理循環六大要點
個資外洩風險是因內部流程失效、資訊系統權限設罝不當及人員錯誤等異常事件,造成持有個人資料外洩的風險,其中企業首要面對的個資外洩影響就是商譽受損與高額行政處罰。對此衝擊,企業可以建立個資外洩風險管理制度,依據個資外洩風險管理循環(詳下圖),推動六大要點來降低個資外洩風險發生可能性,分別是(一)訂定個資外洩風險管理政策、組織及職責;(二)進行個資外洩風險辨識,對核心業務及其重要性、涉及個資系統盤點;(三)實施個資外洩風險衡量,以質化或量化評估方式對所辨識的外洩風險執行(機密性、完整性及可用性)衝擊分析;(四)有效回應個資外洩風險,依衡量的衝擊程度來決定因應方式;(五)加強個資外洩風險管控並訂定控制措施,對涉及個資的系統發展及維護安全,以及系統或服務委外管理訂定控制措施;(六)建立個資風險指標,針對個資外洩風險(質化或量化)指標加強管理,例如:涉及個資的資料庫異常存取時間或次數、員工個人短時間內異常存取頻率過高,或非個資存取授權者下載個資;設定超出風險指標的警示值時,則視衝擊嚴重程度情況設置為中度風險或高度風險,監控個資外洩風險變化,並且視風險重大性給與不同的因應措施及處理流程,對個資外洩事件通報應變及情資評估因應、決定行動。另外,企業亦可推動定期實施個資外洩風險自我評估,針對個資保護目標及風險,評估內部流程、資訊系統及人員引發潛在異常事件,以致個資外洩的可能性與影響程度,再進一步評估控制設計與管理程序之有效性,最後依據最終的風險評估結果,訂定個資保護行動計畫。
