文/蕭奕弘

去(114)年 11 月 11 日,個人資料保護法修正公布,雖然施行日期尚待行政院決定,個人資料保護委員會(下稱個資會)籌備處已陸續預告配套子法草案,其中以個人資料事故通知通報及應變辦法草案(下稱「通知通報及應變辦法」草案),以及個人資料檔案安全維護管理辦法草案(下稱「安全維護管理辦法」草案),對企業影響最為深遠。在新制上路後,無論產業類別為何、公司規模大小,每一家企業都將面臨新的資安與個資要求。本文以「企業」為中心,簡要介紹相關規範。
通知通報及應變辦法
當企業發生個資事故時,現行個資法雖已規定企業有通知當事人義務,違反可處罰鍰。但僅規定「應查明後以適當方式通知當事人」,施行細則雖然就「適當方式」有進一步的規定,但仍然欠缺完整規範。當企業違反違反通知義務時,現行個資法雖然規定可按次處以罰鍰,不過罰鍰最高僅為 20 萬元。
而且,依現行規定也必須先限期改正,屆期未改正後,才能開罰,使得規定的威攝力不足。資通安全管理法雖然規定發生資通安全事件應通報中央目的事業主管機關,但僅規範公務機關與特定非公務機關,絕大多數的企業並不包括在內。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]
新法則規定由個資會統一制定通知規範,並新增符合一定通報範圍者,應通報個資會,由個資會受理後轉知目的事業主管機關。至於違反通知或通報規定時,新法規定可以直接裁罰,已不用先命限期改正。草案就通知、通報規範,簡介如下:
知悉時起 72 小時內通知當事人
草案規定企業知悉所保有之個資發生個資事故時,應於知悉時起 72 小時內以適當方式個別通知當事人。如果有正當事由而無法在 72 小時期限內通知,企業應敘明理由通報受理通報個資會,並在事由消滅後 72 小時內補行通知當事人。新法雖然設定 72 小時的嚴格要求,也留下因特殊情況而調整的彈性。
原則:個別通知
原則「個別」通知當事人,但如有特殊情形,比如欠缺當事人聯絡方式、未涉及特種個資(病歷、醫療、基因、性生活、健康檢查及犯罪前科)且已有適當保護措施避免未經授權讀取,或個別通知耗費過鉅而將影響營運時,企業可以透過網路、新聞媒體公開以達到通知的效果。以公開方式通知時,應至少連續公開 30 日。如果企業要主張耗費過鉅,應釋明個別通知當事人具體金額之計算方式,以及該金額何以影響營運之說明。
應通報之範圍
前面提到,新法增加符合一定通報範圍者,於發生個資外洩等個資事故時,企業應通報個資會。所謂的「符合一定通報範圍」,包括:
- 涉及特種個資。
- 資通系統保有個資筆數達一萬筆以上。
- 影響個資筆數達一百筆以上。
個資筆數之計算方式,係以單日所保有每一自然人之每一蒐集特定目的累加計算,舉例而言,某甲分別因為「網站會員資料」及「內部員工資料」蒐集,因特定目的不同,要累加算 2 筆。
應採取之應變措施
草案規定企業知悉個資事故後,應採取即時有效應變措施,包括:
- 檢查洩漏途徑,並採取隔離或封鎖措施。
- 檢查存取權限,阻止異常存取路徑。
- 收回誤送之個資檔案,要求第三人刪除或銷毀。
- 請求搜尋引擎業者刪除已公開之個人資料,或消除公開狀態。
- 其他即時有效防止個資事故擴大之措施。
受託機關知悉時點,視為委託機關知悉
草案規定受企業委託蒐集、處理及利用個資而知悉個資事故,視為企業已知悉。受託者也應於知悉事故時,立即通知委託之企業並保存通知記錄。
製作事故紀錄,並至少保存 5 年
草案要求企業知悉個資事故後,應製作相關紀錄,並至少應保存 5 年,內容包括:事件紀錄、通知通報情形、應變措施、事故影響、調查過程及改正措施處置歷程等。
小結
過去因為通知的規定不夠具體,加上裁罰力道有限、欠缺通報政府機關的法源規定,導致雖個資事故頻傳,但企業願意主動公開事故並實際通知當事人的案例仍屬少見,新法正是希望透過具體規定通知及通報義務,建立企業可遵循的制度框架。
對 CIO 而言,面對即將到來的新制,應提早制定內部相關規範,並確認目前系統內個資筆數,以及系統能否統計受影響筆數?是否已區分特種個資並有獨立存取控管?這些都是企業將來在面臨個資事故時,採取合規應變措施的基礎。
安全維護管理辦法
現行個資法就安全維護事項部分,並無具體的規定。施行細則雖然進一步提出 11個事項作為遵循的參考,但仍然過於簡略而不夠具體。目前只能由中央目的事業主管機關分別要求個別產業制定安全維護計畫,標準無法完全一致。
這次的修法明定安全維護、管理機制、應採取之措施等,均由主管機關個資會定之,以確保對個資保護與管理,能達到一定水準,由個資會訂定共通性規範,作為個資保護最低限度的要求。
此外,現行個資法施行細則第 12 條第 2 項規定提及,個資保護的適當安全措施,以與所欲達成之個人資料保護目的間,具有「適當比例」為原則。但何謂適當比例,現行規定並無規範,可能造成企業無所適從。
就此而言,草案將管制強度區分成「共通安全維護措施」與「公務機關與大型非公務機關」兩個類別,前者是所有企業都必須採行的安全維護措施。如果企業屬於草案所定義的「大型非公務機關」,則更強化安全維護管理的要求。
共通安全維護措施(所有企業適用)
所有的公務或非公務機關都需要遵守「共通安全維護措施」,這是個資保護的最低標準,除了依循原有個資法施行細則第 12 條第 1 項所列的 11 項措施加以具體規範外,更有下述方面的要求:
- 對經手個資人員的安全管理措施,比如識別、建立保密義務、權限管控措施,於業務或職務異動時,確保媒介物的交接、返還或資料刪除。
- 涉及特種個資,應制定紙本及儲存媒體管制規範、媒介物銷毀或報廢時採取適當防範措施、備份資料比照原件予以保護、檔案加密、安全傳輸措施及銷毀機制。
- 資通系統安全措施:包括使用者最小權限原則、帳號安全管理及定期清理、設置密碼並符合複雜性需求,以及日誌記錄。
對公務機關與大型非公務機關的額外要求
草案將不屬於經濟部「中小企業認定標準」所認定的中小企業,如保有個人資料檔案筆數達 1 萬筆以上的公司、有限合夥或商業登記,定義為「大型非公務機關」,更加強化安全維護事項及管理機制,標準跟公務機關相同,比如:
- 應訂定個人資料檔案安全維護計畫。
- 定期清查流程、建立盤點清冊及流程說明文件。
- 每年定期識別、分析及評估風險。
- 採取更嚴格的資訊安全措施,如隱碼機制、防止網路入侵對策、異常使用行為監控及因應、日誌至少保留 6 個月,及對外服務系統上線前後檢測等。
- 制定稽核機制,每年至少辦理一次。
- 保存個資蒐集、處理或利用紀錄等至少 5 年。
結語
對原本即受「資通安全管理法」規範的公務機關,或已建立嚴謹治理體系的金融機構與上市櫃公司而言,新法更像是既有要求的系統化整合。然而,對於廣大中小企業來說,要滿足最低要求的共通性標準,不僅是法規遵循的挑戰,更是企業文化的轉型。
個資保護與安全管理不再僅是 CIO 或資訊部門的單打獨鬥,而必須轉化為企業治理的 DNA,成為組織運作的日常基準。雖然目前新法施行日期未定,但資訊治理的工作無法速成,企業應提早因應準備。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















