文/蕭奕弘

過年期間,圓山大飯店官網在大年初四(民國115年2月20日)張貼一則標題為「資訊系統異常事件說明」的公告,內容是飯店在2月17日發現資訊系統遭到外部入侵,初步研判涉及駭客入侵,已立即啟動資安應變機制,並委請外部專業團隊協助調查及復原、採取必要防護措施,並持續進行監測。公告也表示飯店已依相關法令完成主管機關通報程序,影響範圍仍在釐清,若後續確認涉及個資竊取,將依相關法令通知當事人,並提供必要協助。
隔天,飯店發布更新說明,表示經過鑑識調查後,確認部分系統遭未經授權存取,而且不排除部分客戶資料可能遭到竊取、外流。實際受影響範圍及內容仍待最終鑑識結果確認,先以本公告周知。
那麼,依照現行規定,圓山大飯店要跟誰進行通報?什麼情況要通知受影響的當事人?
個人資料保護法在99年進行大幅度修改,從電腦處理個人資料保護法更名為「個人資料保護法」後,從101年10月開始施行,後來經過幾次修法,最近兩次在112年及114年,規定由個人資料保護委員會(下稱個資會)作為主管機關,統一制定通知與通報的規範,個資會籌備處也在年前的1月22日預告訂定「個人資料事故通知通報及應變辦法」草案,作為將來通知與通報的標準。
所謂的通知是指通知受影響的當事人,通報則是通報主管機關。我們來比較一下新舊法,關於通知與通報規定,圓山大飯店這次是依照什麼樣的規範,進行通報主管機關以及後續可能的通知。
通報主管機關
現行法
先談一下通報這件事,資通安全管理法雖然有規定發生資通安全事件應予通報,但資通安全管理法只有規範公務機關與特定非公務機關,絕大多數的企業並不包括在內,圓山飯店也不在適用範圍。
但圓山飯店的公告說已經通報主管機關,圓山飯店的主管機關是誰?依據為何呢?從現行個資法的角度來說,並沒有規範主管機關,而是由中央目的事業主管機關跟地方縣市政府進行違反個資義務的裁罰機關。圓山大飯店屬於觀光業,交通部下面有一個觀光署,因此圓山大飯店的中央目的事業主管機關是交通部。至於怎麼知道自己行業的中央目的事業主管機關是誰,可以查「個人資料保護法非公務機關之中央目的事業主管機關列表」,當中就可以發現飯店的中央目的事業主管機關就是交通部。
圓山大飯店通報交通部的依據,現行個資法並無明文規定。目前的法源依據是來自現行個資法第27條第2項「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」,由各中央部會指定特定產業企業制定「個人資料檔案安全維護計畫」,在計畫中個別要求。比如交通部就制定了「觀光產業類非公務機關個人資料檔案安全維護管理辦法(下稱觀光業安維辦法)」,來對觀光業者具體要求。隨著政府對個資保護的重視,在個資法修正施行之前,是以這樣的方式來規範。
這個辦法要求保有消費者個人資料達八千筆的觀光旅館業、旅館業、民宿、旅行業或觀光遊樂業,要制定跟執行辦法所要求的計畫,其中「觀光業安維辦法」第9條第3項規定「非公務機關遇有消費者個人資料外洩事故,將危及其正常營運或大量當事人權益者,應於知悉事故後七十二小時內依附表格式通報其主管機關。如向地方主管機關通報,非公務機關並應副知中央主管機關。」
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]
以目前個資法的規範,如果業者沒有制定這個計劃,主管機關可以裁罰,但沒有遵守這個計劃,如果屬於適當安全措施的欠缺,主管機關也可以裁罰,但屬於發生事故以後的通報義務違反,可不可以裁罰,可能是有疑問的,這個問題在後續的新法,已經明確的規範。
待施行的新法
去(114)年11月11日修正公布的新個資法,規定由個資會統一制定通知及通告規範,當符合一定通報範圍,發生個資外洩等個資事故時,應通報主管機關個資會,再由個資會受理後轉知目的事業主管機關交通部。
所謂的「符合一定通報範圍」,目前預告制定的草案包括:
- 涉及特種個資。
- 資通系統保有個資筆數達1萬筆以上。
- 影響個資筆數達1百筆以上。
前面提到但如果業者違反計畫要求的通報義務,主管機關可否依照現行法加以裁罰,可能有所疑義。新個資法第48條第2項則明確規定非公務機關違反通報規定者,由主管機關處新臺幣二萬元以上二十萬元以下罰鍰,並令其限期改正,屆期未改正者,可按次處罰。
通知當事人
現行法
通知當事人的規定在現行個資法已有規定,但成效不彰,應該很少民眾接過個資外洩的通知。
依照現行個資法第12條規定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」至於通知的方式則規定在施行細則第22條,其中第1項規定「適當方式」足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,可以適當公開方式來替代通知。過去就有業者以張貼公告的方式,來完成通知要求。
由於條文中並沒有規定通知的時限,而且違反第12條時,依照現行規定也必須先限期改正,屆期未改正後,才能開罰,加上裁罰金不高,規定的威攝力不足。
待施行的新法
新個資法則要求業者在知悉所保有之個資發生個資事故時,應於知悉時起72小時內以適當方式個別通知當事人。如果有正當事由而無法在72小時期限內通知,企業應敘明理由通報受理通報機關,並且要在事由消滅後72小時內補行通知。
通知方式原則以「個別」方式通知當事人,除非特定情形,比如欠缺當事人聯絡方式、沒有涉及個資法第6條特種個資且已有適當保護措施致未經授權者無法讀取內容,或個別通知耗費過鉅等特定情形時,企業可以透過網路、新聞媒體公開以達到通知的效果,草案規定以公開方式通知時,應至少連續公開30日。如果業者要主張耗費過鉅,應釋明個別通知當事人具體金額之計算方式,以及該金額何以影響營運之說明。
[ 推薦文章:國際標準資安治理趨勢,橫向縱向與成熟度量測 ]
換言之,在新制上路之後,業者要以公告的方式來替代通知,需要提出更多的佐證。而且,新法除了增設通知的時限外,也規定可以直接裁罰,不用再命限期改正。
從圓山事件看企業個資應變
新個資法施行後,通知與通報義務將從特定產業擴及全產業,且72小時的雙重時限(通報主管機關、個別通知當事人)同步啟動,違反通報義務可直接裁罰,不再給予限期改正的緩衝。
企業管理層與資安團隊現在應優先確認三件事:第一,盤點自身保有的個資類型與筆數,釐清是否落入應通報的範圍;第二,建立或更新資安事故應變計畫,明確規範誰在72小時內負責通報、誰負責通知當事人;第三,評估現有的個別通知能力,若要主張「耗費過鉅」改以公開方式替代,新法要求提出具體估算佐證,標準較過去嚴格許多。
新法即將上路,及早準備,才能在事故發生時從容應對。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















