顯示具有 BS 10012 標籤的文章。 顯示所有文章
顯示具有 BS 10012 標籤的文章。 顯示所有文章

新版個資法即將上路,相關案例探討.....

Posted in 標籤: , | 於 晚上11:34

以下案例與新版個資法第8,9,15,18,27等條文相關


http://www.microsoft.com/taiwan/security/Business-Ready-Security/pdpa/default.aspx


A 消費者在 96 年 11 月 4、5 日於某購物網站購買台北金馬影展套票,並依照網站指示註冊會員資料,不過因購物網站的處理疏失,竟夾帶其餘 477 位註冊成功之會員資料含帳號、姓名、地址、電話、手機、電子信箱資料外流到其他數百人之信箱之中 A 消費者覺得隱私權受到侵犯,於是向法院起訴請求 9 萬至 10 萬元之損害賠償。
 96 年依照電腦處理個人資料保護法不適用於非公務機關之無店面零售業,且註冊確認函之內容誤植其他會員資料,並無任何會員之出生年月日、身分證統一編號及特徵等足以識別會員之資料加上這些資料沒有任何證據是讓 A 消費者證明遭受實質損害,所以該購物網站抱存僥倖的心態不進行和解。
不過法院審理後認為,個人之姓名及聯絡方式,為隱私權所保障之範圍,若未經持有人之同意或其他法定事由是不能任意揭露給第三人。A 消費者因購物網站的處理疏失,將個人的姓名、地址、電話、手機、電子信箱公開給 477 位無關的第三人,屬於隱私權侵害,依照當事人所受身體上及精神上痛苦程度及所造成之影響予以衡量,判決被告應賠償原告等 2,800 元至 17,400 元之賠償金額。
資料來源:台北地方法院 97 年度訴字第 1683 號
網路購物已經成為現代人生活中常見之消費型態之一,為便利網友在網路上選購商品記錄追蹤商品、順利完成結帳程序及寄送商品等服務,購物網站均會採取會員機制,要求網友進行註冊並提供個人資料,因此購物網站往往握有眾多會員的個人資料。本案例發生時,還不適用於新版個資法,所以受害民眾僅能依照民法規定向購物網站請求損害賠償,受害人若能證明損害,每人每一事件可以請求 2 萬元以上 10 萬元以下之損害賠償額,同一事實損害賠償上限為 2,000 萬元。換言之,受害民眾必須明確舉證購物網站對於個資外洩有故意或過失,由法院視受害民眾舉證程度進行判決,因此受害民眾負擔較重的舉證責任,也讓企業心存僥倖的心態,畢竟訴訟成本除了金錢外,還要花費很多時間成本,一般民眾不會為了幾萬元而去積極處理。
但是新版個資法上路後,企業除了必須主動舉證外,若受害人在不易證明或不能證明損害時,也可請求 500 元至 2 萬元之損害賠償,看似額度較少,但賠償上限提高至 2 億元增加了集體訴訟的規定,即符合一定條件的財團法人或公益社團法人,在獲得當事人 20 人以上的書面授予訴訟實施權時,該法人即可以對外洩個資的機關提起訴訟,這樣受害人將因為可以節省訴訟的時間及成本,而提高行使權利的意願。所以在新版個資法正式施行後,握有大量個人資料的企業更應注意遵守新版個資法規定,以避免因為違反相關規定而遭到民眾集體求償。




http://www.microsoft.com/taiwan/security/Business-Ready-Security/pdpa/case_2.aspx#content_start


A 企業的一位離職經理在任職期間就利用職務之便,將公司客戶的個資存入個人硬碟中,離職後為支付生活所需,涉嫌利用電話與發電子郵件方式,分別賣出 4 次後遭刑事局逮捕,逮捕前可能已售出 14 萬筆個資,販售的價格為每筆資料 0.6 元,若每次購足 5 萬筆則每筆 0.4 元,每次購足 10 萬筆則每筆 0.3 元,用以販售圖利,共獲得不法利益約 4 萬餘元
新版個資法第 27 條規定,非公務機關保有個人資料檔案者,應採取適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。本案例乃是因為離職員工於該公司的在職期間,利用職務之便將該公司客戶資料存入個人硬碟,應屬於公司內部控管問題,違反前述新版個資法第27條規定,受害民眾將可依照新版個資法第 29 條規定向該公司請求損害賠償,若受害民眾不易或不能證明實際損害數額時,可以請求法院以每人每一事件 500 元以上 2 萬元以下計算,最高損害賠償金總額為 2 億元。
另外,該公司因違反新版個資法第 27 條第 1 項規定,中央目的事業主管機關或直轄市、縣(市)政府得限期改正,屆期未改正者,可以按次處新臺幣 2 萬元以上 20 萬元以下罰鍰,若該公司的負責人未能證明已盡防止個資外流的義務,將與公司受到同一額度罰鍰之處罰,甚至五年以下刑事責任。
公司內部除應建立起控管流程,除應有權限控管制度外,更必須管控資料使用的用途在合法的範圍內,避免有權限之人將資料使用在非法用途上,導致公司應負鉅額的損害賠償責任。
 




http://www.microsoft.com/taiwan/security/Business-Ready-Security/pdpa/case_4_2.aspx#content_start
某政府單位在 2004 年委託 C 協會建置並維護「校園二手書教科書網」,提供大專生利用此平台交換二手書,既省錢又可遏止影印教科書的盜版歪風,累計已有一萬六千名會員。但有民眾投訴指只要約略懂得網路語言的人,都可以輕易破解該網站的權限管理帳號,並可任意瀏覽一萬六千名會員的姓名、身分證號碼、電郵郵址及電話等個資。該政府單位表示,對會員個資外洩很抱歉,不排除將對網路維護業者扣款;負責網路維護的某協會當晚已緊急補救資安漏洞。消基會表示,未來若有學生權益受損,可向該政府單位要求國家賠償。
資料來源:蘋果日報 2009/9/14
有限防護會產生的問題
網站資料資安管理不足,將容易使用簡單駭客工具即可破解,吸引新手駭客來試身手!
權限控管不足,將導致管理者帳密一旦被破解,所有資料全都露。
在現行網際網路發達之時代,網站已經成為社會活動之主要管道,且越來越多的網站透過會員機制來提供更多元之服務,但是會員機制往往會蒐集到許多個人資料,一但網站受到攻擊,將造成個人隱密資料外洩。例如本案中的二手書交換服務,因為網站認證功能不足,導致只要略懂電腦的人就可以輕易破解網站的權限管理帳號,並取得會員的姓名、身分證號碼、電郵郵址及電話等個資。
依照電腦處理個人資料保護法(以下簡稱現行個資法)第 17 條規定:「公務機關保有個人資料檔案者,應指定專人依相關法令辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」本案中的網站雖是委外製作與維護,但仍屬於政府單位所架設的網站,因此該單位必須承擔個資外洩的法律責任,每一人每一事件可以請求新台幣 2 萬元以上 10 萬元以下損害賠償,賠償上限為 2,000 萬元。
新版個資法上路後,連一般企業或組織也是採取無過失責任的標準,亦即只要違反個資法規定致當事人受有損害時,即使受害人不易或無法證明實際損害,每人每一事件可以請求 500 元以上 2 萬元,賠償總額以 2 億元為上限,除非損害因天災、事變或其他不可抗力所導致的,否則企業或組織都應該負損害賠償責任。所以除作好資訊安全維護外,並應加強權限控管機制,以避免系統任意遭人入侵而發生個資外洩,而面臨高額損害賠償之風險。


媒體曾揭露某立委之緋聞,事件女主角成為各方追逐的焦點,八卦的程度連警察都想一探究竟,警政署發現有 68 名警員,透過刑案資訊系統查詢該名女主角的個人資料,因與辦案無關,已下令對這些違反作業規定的警員祭出懲處,可處兩次申誡。
警政署資訊室說明,每位警察必須以自己的帳號密碼登入系統,才能查詢民眾個資,通通都會留下紀錄。為保護民眾個人資料,防止不肖警員出售資料,警方經常性針對系統中「異常對象」、「異常時間」和「異常數量」的查詢單位執行抽檢,調查針對政治人物、藝人等的個人資料、或一人調閱大筆個資的情況追查,是否與辦案有關。警政署以該案女主角為查詢條件,發現全台有 16 個單位、共 68 名警員,曾以電腦查詢女主角的個人資料,還有人重複查詢2次以上,共查了 70 多次。經調查,這些警員查閱女主角個資與案件無關,但都未洩露給他人,因此依規定將處以申誡一次到兩次,如果警員將個資外洩,將涉及電腦處理個人資料保護法及瀆職等刑責,後果相當嚴重。
本案例中警察為公務機關,是現行電腦處理個人資料保護法之適用對象,在蒐集及電腦處理個人資料時,須有特定目的,且符合「法令執掌之必要範圍」、「經當事人書面同意」或「對當事人權益無侵害之虞」之情況之一,所以公務機關對個人資料之利用,則應於法令職掌必要範圍內為之,並與蒐集之特定目的相符。
有限防護會產生的問題
不作權限管理,內部職員都可以隨意存取個人資料。
管理者無法在事後進行追蹤、舉證的工作。
警察基於執行職務,在進行個案調查時,可以登入刑案資訊系統查詢個人資料,惟在本案例中警察僅是出於好奇心而進行個人資料查詢,顯不符合現行個資法得蒐集、電腦處理或利用之情況若有將所查得資料利用在特定目的外用途導致當事人權益損害時,當事人可以依照現行個資法之規定向該公務機關請求損害賠償,每人每一事件可以請求新台幣 2 萬元至 10 萬元之損害賠償,基於同一原因事實之損害賠償總額合計最高為 2 千萬元。
另外在新版個資法上路後,還增加了公務機關個資外洩的通知義務,並因集體訴訟制度而增加被求償的風險,民事賠償可能會更高外 (上限為 2 億元),單位負責人及個資經手人都會面臨五年以下的刑事責任,所以需正視內部管理的資安相關作業。
在此案例中,由於警政資訊系統可以查詢到個人資料,因此對於使用者權限必須管理及控制,應依照職務範圍內容分級限制使用者權限,避免所有人均可以透過系統查詢資料。另外,由於警察必須基於執行職務始可查詢個人資料,為避免非法查詢,應該對查詢使用均留下紀錄,包括查詢者身分及查詢事由,在發生個資外洩事件時,始可以追查外洩者之身分。此外,並應定時或不定時進行稽核,以檢視組織內人員是否有遵循相關規定,並即早發現弊端,以降低事件發生之機率並減少損害範圍。

  • 2009年 - 台灣釣魚網站數量在排名全球第五。
  • 2010年 - 台北市是全球釣魚網站 IP 位址最多的城市。
  • 2011年 - 台灣 ? 台北 ? 是否還是釣魚網站的最愛?
目前常見的釣魚網站手法,是駭客假冒知名網站,讓使用者失去戒心,進而依照網站上指示提供個人資料。亦有將網站或信件中嵌入或附加不當連結,使用者一旦點選後,即會下載惡意程式,而將電腦裡的隱密資料外洩。之後,不法份子利用取得的個人資料進行詐騙,使受害民眾不計其數。所以面對這麼多安全問題,要立即面面俱到,可說是不可能的任務,所以企業該如何邁出第一步?微軟建議,若企業有架設網站,可先從防堵釣魚網站開始,確保公司的形象,建立安全品牌的好口碑。
架設釣魚網站的駭客,多以知名網站名義製作假網頁並以取得資料之個人資料進行詐騙,視其犯罪手法會涉及偽造文書罪及詐欺罪等罪。此外,因其涉及違法蒐集個人資料,將會違反電腦處理個人資料保護法之規定,而應負相關刑事責任。但遭冒名或被嵌入不當連結之企業是否會因違反新版個人資料保護法而有相關法律責任?此必須視個人資料外洩是否是因為企業未採取適當安全保護措施所致!
情境一
若情況是因為個人資料是使用者受騙後而提供給仿冒網站,因不涉及該企業網站本身的資訊安全,資料亦非由該網站所外洩,因此企業於此尚不會有相關法律責任。
情境二
若資料外洩是肇因於企業網站安全性不足而被嵌入不當連結,或因企業內部員工因連結至不當網站遭植入木馬程式,致企業電腦之內部資料外洩時,企業必須負相關法律責任。原因為個資外洩是因為企業內部電腦安全等級不足所致,且資料係自企業資料庫流出,新版個資法賦予企業須對個人資料採取適當安全措施之義務。



























http://www.ithome.com.tw/privacylaw/article/62900

新法施行後,受到衝擊最大的就是,先前沒有納入舊版《電腦處理個人資料保護法》的所有非公務機關,包括自然人、法人或其他團體等。」萬幼筠說,非公務機關公司大小和營運規模差異甚大,擁有的個人資料不一樣,連可能遺失個人資料甚至因此造成當事人損失的方式也不一樣,一旦成為新版《個人資料保護法》規範的對象,只要擁有1筆以上的個人資料,就必須遵照該法蒐集、處理、利用、傳輸甚至刪除的規範,否則,還有民、刑事的懲罰,對企業影響層面甚巨。 

由於新版個資法打破舊法行業別適用的限制,未來不論企業規模大小、個資數量多寡,都受到新版個資法嚴格規範,加上舉證責任倒置,企業必須負起證明企業本身無過失的舉證責任。在距離新版個資法公告施行大約還有一年時間,企業可以參考英國在2009年6月頒布的英國個人資料保護標準BS 10012,從PDCA的循環落實企業的個資保護措施。

BS 10012個資保護標準的10大實務作法(1)  http://diigo.com/0jqre
目前英國BSI推出的BS 10012英國個資保護標準的作法,符合臺灣新版個資法精神,企業可藉此作為因應新版個資法的最佳實務

BS 10012個資保護標準的10大實務作法(2)  http://diigo.com/0jqrr
《個人資料保護法》通過後,企業也必須回頭審視手邊擁有的個人資料,是否是當事人提供或間接蒐集而來,而這些個資使用目的是否已有變更,這些個資狀態都攸關企業未來在使用這些個資時,是否必須再取得當事人同意

BS 10012個資保護標準的10大實務作法(3)  http://diigo.com/0jqs1

企業參考個資類別和風險高低,選擇合適的個資防護措施之後,為了能夠保存每一筆個資異動的軌跡,重要資安設備和資安事件的Log檔(登錄檔)都必須留存



其他參考資料~
從案例解析個資法對企業衝擊與因應之道  http://diigo.com/0jr2m
個人資料保護與資訊安全管理探微
個資法實行對於學校營運的衝擊與影響
注意p.21-24所說的Plan重點:「政策內容不明確、沒有成立個人資料管理委員會、對人員教育訓練不足、沒有編列預算準備引進相關安全系統」。p.25-29所說的Do重點:「彙整出各單位檔案清單與個資類別清單後,逐一分析C,P,U,完成盤點個資清單在各單位的流向,評估風險是否獲得控管」,而p.30-33的Do重點:「有沒有部署和室的個資保護監控工具」與「記錄保存個資流向與軌跡(也就是Log記錄還能還原真實情況)」與「有沒有宣告隱私權政策」與「有沒有輔導各部門重新檢視委外合約」。p.34所說的Check程序:「企業有無落實內部稽核、管理階層審查等」。最後,p.35提到企業開始Act:「著手預防矯正改善措施」。假設企業完成一個循環PDCA而學到如何保護個資的經驗,下一循環的PDCA再度開始,由企業努力持續維護個資保護制度更加精進。
個資法衝擊下 企業對資安風險、管理與稽核的因應之道
注意其第4頁的重點:「1. 擴大保護客體、2. 普遍適用主體、3. 增修行為規範、4. 強化行政監督、6. 調整責任內涵」,以及第10頁的實施困境:「1.被動的隱私保護意識、2.被視為100%IT議題、3.無法確認法令遵循度、4.無法盤點個人資料、5.角色權責與存取權限不明、6.資源有限,資料無限、7.難以瞭解可能的衝擊、8.難提出善良管理證據」,以及第15頁的執行元素:「隱私衝擊分析(PIA)、分析業務活動資料熱點與關鍵環境、個人資料存取權責表、個人資料保護控管風險分析、選擇合適工具部署與監控、留存保護活動記錄與軌跡、數位鑑識與犯罪/舞弊偵防、PDCA」,以及第16,17頁的圖示。

教育機構個人資料保護工作事項
教育機構個人資料保護檢核表
 個人資料保護實務與稽核準備(上)
一、政策與保護要點
  為使組織有既定之個人資料保護策略與方向,首要工作為訂定及公布組織之個人資料保護政策與要點,清楚定義組織內部一致之保護政策,同時提供個資當事人了解自身之相關權利與義務。稽核要點如下:
(一)個人資料之蒐集、處理或利用,是否有法源依據或符合特定目的
(二)是否訂定個人資料保護政策及管理要點?此政策應涵蓋與適用之範圍及對於個人資料保護之管理方向。
(三)是否準備個人資料提供同意書以請求當事人之意向?同意書應載明個資當事人所有法律賦予之權利及組織保密之責任等等。
二、角色與管理責任
  公務機關保有個人資料檔案者,應指定專人辦理安全維護事項…[2] ;國外盛行之隱私長角色,可供國內組織參考,同時再由隱私長發展個資保護組織架構。在角色與管理責任可能出現的爭議點是:個人資料保護應由資訊人員主責或其他專責人員負責?會出現這個議題也是因為現行個人資料大多透過電腦記錄、儲存及傳送,建議組織可依業務特性,分析及決定個資管理角色與責任。稽核要點如下:
(一)個資保護組織架構是否包括管理階層人員?檢視個人資料管理由上至下(Top down)的管理方式。
(二)是否提供合宜之聯絡方式予個資當事人?以利個資當事人行使其權利。
(三)個資保護組織架構之人員是否清楚應盡之權責事項?測試相關人員對個人資料之認識與管理能力。
(四)是否建立個人資料防護之教育訓練程序?藉由檢視訓練內容及紀錄確認人員之認知與技能,了解組織內所有人是否皆完成基本之認知課程。另外針對個人資料管理,組織應特別再提供進階訓練。
三、通知與應變程序
  對組織而言,最讓人擔心害怕的事,恐怕是個資事件發生時,通報者是外部人員或是受害者直接告知。組織違反個人資料保護法時,應在查明個資事件後,以適當方式通知當事人。[2] 稽核要點如下:
(一)是否建立個人資料審視管理程序,定期檢視違反個資保護之徵兆與可能之趨勢
(二)檢視通知與應變程序是否排定測試計畫,並確認其可行性。
(三)個資事件發生後,是否視應變需要重新調整管理計畫?同時得確認後續管理計畫之有效性。
(四)是否留存所有通知與應變程序之紀錄,做為日後分析與處理經驗分享使用?
四、委外管理
  受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。[2]第4條。委外管理之所以重要,是因為不論公務機關或非公務機關個人資料蒐集、處理及利用等程序委外皆有相當高的機會與比例,委外管理不可不慎。稽核要點如下:
(一)是否於合約中載明應遵循組織之個人資料保護管理原則
(二)是否具備對個資事項之稽核權?確認組織是否派員執行稽核、稽核頻率及稽核紀錄等。確認委託機關之防護要求等級應與組織相同,以確保風險發生之可能性。
(三)委外機關管理受委託之個人資料是否與組織之管理等級相同
五、其他管理稽核事項
(一)檢視當事人行使個人資料保護法所賦予之權利時,組織回應之程序與方法,可確認組織能否於限定期間內回覆?依[2]第13條規定,得依當事人不同之請求權利於15日或30日內完成准駁之決定。能否設計妥適回應流程,且即時回覆個資當事人,應列為稽核要點之一。
(二)可攜式媒體是否訂定個人資料儲存、傳送之管理程序?隨身碟、平版式電腦及智慧型手機之盛行,相對地也提高資安事件之風險程度;若這些裝置未納入資料保護與控管的範圍,則未來可能成為風險發生之最大來源。
(三)是否訂定銷毀程序,包括紙本資料及電子檔案等不同之處置程序?確定銷毀過程皆留下紀錄,並可被再次顯現?
(四)是否定期進行管理階層審查,以確認個人資料保護政策之合宜性、個資事件趨勢及處理之有效性,甚至是因為內在或外在環境的改變而需要調整的管理程序?
(五)個人資料是否有國際傳輸行為?除考量是否符合本國法律外,亦應考量雙方管理程序與交換技術之操作安全? 

個人資料保護實務與稽核準備(下)
一、應用系統開發與維運
應用系統不論是自行或委外開發,皆應訂定系統安全規格及分析。特別是若要利用系統處理個人資料時,更應特別注意安全要求。現今組織不乏委外開發(甚至是跨國開發)資訊系統之案例,往往因為開始時疏忽安全設計,合約結束後又未確認所有個人資料已刪除或充分移轉至組織自行管理,而導致個人資料外洩事件層出不窮。
─稽核要點如下:
(一)是否加入個人資料安全之規格分析?系統開發完成時,是否就已知之弱點,執行源碼檢測?
(二)是否考量系統個人資料報表或紀錄產出時,加入遮蔽機制
(三)系統開發人員是否擁有正式維運系統個人資料之存取權限
(四)檢視資料庫若有個人資料是否考量加密?特別是資料庫中若包含特種或敏感個資時,應檢視加密或遮蔽處理,包括檢視加密長度、金鑰管理等等。
二、存取控制
個人資料保護法清楚定義特種個資蒐集有所限制,這些限制也表示個資依個資衝擊分析或風險評鑑結果,應建置不同之存取控制機制。有鑑於個人資料多具備數位與實體兩種形式,因此存取控制機制應包括邏輯防護及實體安全等管控方式。
─稽核要點如下:
(一)是否採取獨立性與職責分工原則,訂定以角色(Role based)為基礎的存取控制機制?檢視是否具備個資處理或利用之授權表,清楚定義每個角色之存取權限。
(二)特種個資或具敏感性個資是否加強系統使用者的認證方式?是否使用類似帳號密碼,輔以生物辦識或憑證等雙重認證方式。
(三)是否建置數位版權管理工具(Digital Right Management)?管控使用者存取特種個資或具敏感性個資之相關行為,包括列印、轉寄、複製或畫面擷取等行為。
(四)是否允許遠端連線個人資料?應檢視遠端連線存取之組態設定,是否包括VPN或加密等連線管控。
三、舉證與日誌保存
非公務機關違反個人資料保護法,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,但能證明其無故意或過失者,不在此限。[2]第29條。舉證與日誌保存對組織而言往往是一大挑戰,是否具備足夠技術能力去偵測異常事件、證據保存及日誌是否能被追溯至事件發生日,則考驗著管理者的能耐。
─稽核要點如下:
(一)是否訂有系統日誌或紀錄等保存程序?個人資料不一定都儲存在同一套系統或電腦上,應確認是否有系統日誌保留之一致程序及方法。若有不同系統存在時,應檢視既定之保留與設定程序。 
(二)確認日誌或紀錄之權責管理與儲存方式。應檢視擁有個人資料之系統日誌是否已設定事件稽核日誌。
(三)日誌或紀錄是否有建置備份機制或獨立專責管理人員,且定期審視稽核日誌
(四)確認日誌或紀錄保留之時間主要是因為損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。[2]第30條。如果個人資料是儲存在資料庫,則應檢視日誌留存之組態設定,上述期間之日誌是否皆可以讀取。考量系統可能發生組態設定錯誤、系統毀損或硬碟空間不足等問題,故應指派專人定期審視或稽核日誌,以確認其可讀取性;而為維護事件稽核之獨立與不受誤用等,應檢視系統管理者是否具備存取日誌之權限。
四、其他技術稽核事項
(一)是否使用網路個資掃描工具,以確認並未有個資外洩事宜?
(二)是否使用資料外洩防護控管(Data Loss Prevention)工具,限制或記錄個人資料讀取、寫入、複製、刪除及列印等工作?
以上概述之技術稽核要點,仍應就組織之特有資訊環境及個人資料屬性進行調整,以達最佳技術治理之績效。


 善用工具 因應個資法挑戰

Read Users' Comments (2)

訂閱: 意見 (Atom)