個人資料保護工作事項-法律要件與管理原則

Report
企業資安 ,桓基把關
Your Security , Our Mission
個資保護工作
-法律要件與管理原則
簡報者:陳豪欽 Elton
PMP、RHCE、BS7799
TUVïT 個資認證顧問
Agenda
• 綜觀個資法
–
–
–
–
公務機關告知函-範例
網路蒐集個資流程設計-範例
委外合約-範例
法律責任與個資事件
• 個人資料生命週期
• 組織個資管理制度之建立
–
–
–
–
–
–
2
規劃與準備-適法性調查步驟,隱私權政策-範例
清查與評鑑 –個資流程DFD
建立管理制度-擬定個資保護政策
落實管理制度-資料安全管理與人員管理
稽核與保全
維運與改善
面對個資法
資料來源:IThome
3
個資法 十大關鍵須知
1. 施行日期:
個資法何時正式實施?完成施行細則修正文後
 2012/10/1
2. 規範對象 : 除了個人與企業與公務機關,團體也受約束
3. 個資定義 : 哪些是個資?包括姓名、身分證字號、 生日等,以及其他可以直接或
間接識別出個人的資料,包含個人資料檔案、軌跡資料及備份
4. 最低管轄數量:
只要擁有 1 筆個資就得遵循
5. 告知義務 : 個資蒐集、處理、利用前須告知當事人(修法2)
6. 利用限制:
須符合特定目的
7. 有效同意:
書面同意,得以電子文件行之
8. 委外責任 :
委託人將轉嫁責任給受委託之機關
9. 罰
則 : 求償金額可達2 億元,包含刑事、民事、行政責任
10.訴訟與和解 : 團體訴訟的力量,提早和解降低損害範圍
4
綜觀個資法
• 【1995】前身:電腦處理個人資料保護法
• 【2010完成修法】個人資料保護法
– 先判斷是不是個資
• 第一章總則:個資法第1條 - 第14條
– 再判斷是公務還是非公務機關,並了解其作法之異同
• 第二章公務機關對個人資料之蒐集、處理及利用: 個資法第15條 - 第18條
• 第三章非公務機關對個人資料之蒐集、處理及利用:個資法第19條 - 第27
條
– 了解損害賠償的責任及罰則,包含刑事、民事、行政
• 第四章損害賠償及團體訴訟:個資法第28條 - 第40條
• 第五章罰則:個資法第41條 - 第50條
– 其它
• 第六章附則:個資法第51條 - 第56條
• 【2011.10.27】電腦處理個人資料保護法施行細則修正草
案,共28條。
5
綜觀個資法
先判斷是不是個資
6
什麼是個資?
1.車牌?
2.企業負責人資料?
3.機關聯絡人職能?
4.名片交換?
5.IP?
6.eMail?
7
個資法第 2 條
本法用詞,定義如下:
一. 個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、
護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療
、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、
社會活動及其他得以直接或間接方式識別該個人之資料。
二. 個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方
式 檢索、整理之個人資料之集合。
三. 蒐集:指以任何方式取得個人資料。
四. 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存
、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五. 利用:指將蒐集之個人資料為處理以外之使用。
六. 國際傳輸:指將個人資料作跨國(境)之處理或利用。
七. 公務機關:指依法行使公權力之中央或地方機關或行政法人。
八. 非公務機關:指前款以外之自然人、法人或其他團體。
九. 當事人:指個人資料之本人。
8
個資之例外
• 個資法第 51 條
– 有下列情形之一者,不適用本法規定:
一. 自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個
人資料 。EX:Facebook
二. 於公開場所或公開活動中所蒐集、處理或利用之未與其他個人
資料結合之影音資料。 公務機關及非公務機關,在中華民國
領域外對中華民國人民個人資料蒐集 、處理或利用者,亦適
用本法。
EX: Google car,路口監視器
9
特種個資
• 個資法第 6 條
– 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得
蒐集、 處理或利用。
• 爭議一:縱經當事人書面同意亦不得蒐集、 處理或利用。
• 修法1:行政院針對個資法第6條限制特種個資的修法,就是要增加可使用特
種個資的兩個條件:「當事人同意」與「維護公共利益」。此外,修正草
案也一併將「病歷」納入特種個資的範疇。(可以緩施行)
– 但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當 安
全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計 或
學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資 料。
– 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行
事項之 辦法,由中央目的事業主管機關會同法務部定之。
10
特殊處理或利用1
內部傳送 vs. 國際傳輸
• 內部傳送
– 本法第二條第四款所稱內部傳送,係指公務機關或非公務機關
本身內部之資料傳送【施行細則第6條】。
– 例如:公務機關內部各單位間之資料傳送,不包括上級機關傳
送個人資料予下級機關,或者法人或團體或自然人之內部資料
傳送。
– 又內部傳送,包括機關內部跨國(境)之資料傳送。
• 國際傳輸
– 個資法第 21 條 - 非公務機關為國際傳輸個人資料,而有下列情
形之一者,中央目的事業主管機關得限制之:
一. 涉及國家重大利益。
二. 國際條約或協定有特別規定。
三. 接受國對於個人資料之保護未有完善之法規,致有損當事人權益之
虞。
四. 以迂迴方法向第三國(地區)傳輸個人資料規避本法。
11
特殊處理或利用2
刪除 vs. 軌跡資料
• 個資法第 3 條
– 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約
限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
• 施行細則第五條
– 本法第二條第二款所稱個人資料檔案,包括備份檔案及軌跡資料。
• 施行細則第六條
– 本法第二條第四款所稱刪除,指使已儲存之個人資料自個人資料檔案中消
失。
– 前項規定,如為事後查核、比對或證明之需要而留存軌跡資料者,得不予
刪除。
• 刪除既指使已儲存之個人資料自個人資料檔案中消失,然如使個人資料自個人資料
檔案中全部消失,將不利於電腦系統追查過往作業紀錄,為考量資訊安全與數位鑑
識等證明作業之需要,乃增列由系統留存之必要軌跡資料,不在刪除之範圍內,爰
規定如第二項。
12
綜觀個資法
再判斷是公務機關還是非公務機關,並
了解其蒐集、處理、利用三個行為上之
異同
13
公務機關1
• 個資法第 15 條
– 公務機關對個人資料之蒐集或處理,除第六條第一項(特種個資)所
規定資料外,應有特定目的,並符合下列情形之一者:
一. 執行法定職務必要範圍內。
二. 經當事人書面同意。
三. 對當事人權益無侵害。
• 個資法第 16 條
– 公務機關對個人資料之利用,除第六條第一項(特種個資)所規定資
料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符
– 但有下列情形之一者 ,得為特定目的外之利用:
一.
二.
三.
四.
五.
法律明文規定。
為維護國家安全或增進公共利益。
為免除當事人之生命、身體、自由或財產上之危險。
為防止他人權益之重大危害。
公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資
料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事 人。
六. 有利於當事人權益。
七. 經當事人書面同意。
14
公務機關2
• 個資法第17條
公務機關應將下列事項公開於電腦網站,或以其他適當方式供
公眾查閱;其有變更者,亦同:
一、個人資料檔案名稱。
二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。
四、個人資料之類別。
15
保有及管理個人資料之項目彙整表-範例
16
公務機關3
• 個資法第 18 條
– 公務機關保有個人資料檔案者,應指定專人辦理安全維
護事項,防止個人資料被竊取、竄改、毀損、滅失或洩
漏。
• 施行細則第二十條 公務機關保有個人資料檔案者,應訂定個人
資料安全維護規定,其內容應包括第九條第二項所定事項。
• 施行細則第九條第二項
17
非公務機關1
• 個資法第 19 條
– 非公務機關對個人資料之蒐集或處理,除第六條第一項(特種個
資)所規定資料外,應有特定目的,並符合下列情形之一者:
一.
二.
三.
四.
法律明文規定。
與當事人有契約或類似契約之關係。
當事人自行公開或其他已合法公開之個人資料。
學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過
提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
五. 經當事人書面同意。
六. 與公共利益有關。
七. 個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利
用,顯有更值得保護之重大利益者,不在此限。
– 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對
該資料之處理或利用時,應主動或依當事人之請求,刪除、停止
處理或利用該個人 資料。
18
非公務機關2
• 個資法第 20 條
– 非公務機關對個人資料之利用,除第六條第一項(特種個資
)所規定資料外,應於蒐集之特定目的必要範圍內為之。但
有下列情形之一者,得為特定目的外之利用:
一.
二.
三.
四.
五.
法律明文規定。
為增進公共利益。
為免除當事人之生命、身體、自由或財產上之危險。
為防止他人權益之重大危害。
公務機關或學術研究機構基於公共利益為統計或學術研究而有
必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識
別特定之當事 人。
六. 經當事人書面同意。
– 非公務機關依前項規定利用個人資料行銷者,當事人表示拒
絕接受行銷時 ,應即停止利用其個人資料行銷。
– 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷
之方式,並支 付所需費用。
19
非公務機關3
• 個資法第 27 條
– 非公務機關保有個人資料檔案者,應採行適當之安全措
施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
– 中央目的事業主管機關得指定非公務機關訂定個人資料
檔案安全維護計畫或業務終止後個人資料處理方法。
– 前項計畫及處理方法之標準等相關事項之辦法,由中央
目的事業主管機關定之。
20
直接取得告知事項
• 個資法第 8 條
– 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個
人資料時,應明確告知當事人下列事項:
一.
二.
三.
四.
五.
六.
公務機關或非公務機關名稱。
蒐集之目的。
個人資料之類別。
個人資料利用之期間、地區、對象及方式。
當事人依第三條規定得行使之權利及方式。
當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
– 有下列情形之一者,得免為前項之告知:
一. 依法律規定得免告知。
二. 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所
必要。
三. 告知將妨害公務機關執行法定職務。
四. 告知將妨害第三人之重大利益。
五. 當事人明知應告知之內容。
21
間接取得告知事項
• 個資法第 9 條
– 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事
人提供之 個人資料,應於處理或利用前,向當事人告知個人資料
來源及前條第一項第一款至第五款所列事項。
– 有下列情形之一者,得免為前項之告知:
一.
二.
三.
四.
有前條第二項所列各款情形之一。
當事人自行公開或其他已合法公開之個人資料。
不能向當事人或其法定代理人為告知。
基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供
者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五. 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告
知,得於首次對當事人為利用時併同為之。
• 個資法第54條
– 本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或
利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,
逾期未告知而處理或利用者,以違反第九條規定論處。
• 修法2:在個資法施行前間接取得的個資只需在利用前告知(可以緩施行)
22
告知的要件
個資法第8條即定義了資料蒐集者必須告知當事人哪些事項,包括:
1.資料蒐集者所屬單位的名稱
2.蒐集資料的目的
3.個人資料的類別
4.個人資料利用的期間、地區、對象及方式
5.當事人對其個資可以行使查詢、請求閱覽、製給複本、補充、更正、要求停
止蒐集、處理與利用、及要求刪除等權利,以及如何執行的方式。
6.當事人可以自由選擇提供個人資料時,若不提供個資會影響其自身權益,則
必須告知會受到何影響。(個資法第7條)
23
告知函-範例
特定目的:教育或訓練行政
1.機關名稱:教育網路中心
2.個人資料蒐集目的:基於辦理個人資料保護顧問培訓班與後續相關訊息發送之目的。
3.個人資料之類別:姓名(護照英文姓名)、身分證號碼、職業、職稱、地址、電話、匯款帳號
、是否為會員等(包含C001、C002、 C003、C038、C053等資料類別)
4.1.個人資料利用之期間:本中心營運期間
4.2.個人資料利用之地區:地區不限
4.3.個人資料利用之對象:本中心相關合作單位(合作單位名稱如有新增,將於本中心網站公
告,請自行上網參閱)
4.4.個人資料利用之方式:上課期間課程之聯絡、發送資料及未來相關訊息之通知
5.當事人得依個資法第3條行使以下權利:查詢或請求閱覽;請求製給複給本;請求補充或更
正;請求停止蒐集、處理或利用;請求刪除。當事人得以書面、傳真、E-MAIL、電話等
方式行使上述之權利。
6.當事人得自由選擇是否提供上述個人資料,若您不願意提供真實且正確完整的個人資料,
將導致報名程序無法完成、上課期間無法聯繫、證書無法送達,影響您參與本課程之權
益。
聯絡資訊:
地址:台東市台東大學
電話:(080)123456 傳真:(08)2557-9007
E-mail: [email protected]
24
當事人「書面同意」
• 施行細則第十一條
– 本法第七條所定書面意思表示之方式,如其內容可完整呈現,並可
於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之
。
• 電子簽章法第四條
– 依法令規定應以書面為之者,如其內容可完整呈現,並可於日後取
出供查驗者,經相對人同意,得以電子文件為之。
• 電子簽章法第五條
– 依法令規定應提出文書原本或正本者,如文書係以電子文件形式作
成,其 內容可完整呈現,並可於日後取出供查驗者,得以電子文件
為之。
– 但應核對筆跡、印跡或其他為辨識文書真偽之必要或法令另有規定
者,不在此限 。
– 前項所稱內容可完整呈現,不含以電子方式發送、收受、儲存及顯
示作業附加之資料訊息。
25
網路蒐集個資之同意流程-範例
以下畫面
需收集您
的個人資
料
不同意
登出
登入
Email/手機
<以資辨別
身份>
簡訊
確認
簡訊密碼
登入確認
同意
告知蒐集
之目的
收集更多
的資訊
<其它相關
個資>
建立使用
者電子書
面
不同意
不同意
登出
登出
Email含同意
文件
附隱私權宣
告 確認
檢驗點
檢驗點
檢驗點
同意
委外條款
• 個資法第 4 條
– 受公務機關或非公務機關委託蒐集、處理或利用個人資
料者,於本法適用範圍內,視同委託機關。
– 施行細則第8條 - 委託人應對受託人為適當之監督。
– 施行細則第9條 - 適當安全維護措施。
27
委外之責任轉嫁-合約範例1
增訂【保密條款】
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
28
甲方因業務需要委託乙方執行業務而提供之個人資料,乙方應負保密之責,不得為該次委託運送貨品目的以外之處理
或利用,乙方並不得將該資料販售或提供予任何第三人(如係因政府機關依法要求而提供者,不在此限,惟乙方提供
前應先通知甲方,並以善良管理人注意義務採取保護個人資料之措施。
乙方需與其僱傭人或使用人簽定保密協定及行為規範文件,並確保該等人員均遵守本合約有關之保密義務。乙方所屬
相關人員違反本合約之行為,均視為乙方之違約行為,乙方應負全部責任。乙方並應定期提供員工資訊安全、客戶資
料保護及電腦使用守則等資訊安全教育訓練。
乙方應依照個資法施行細則第九條之要求建立適當的安全維護措施,其中包括:
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。
委外之責任轉嫁-合約範例2
•
•
乙方自甲方取得而持有或管理之個人資料,應按甲方之管理要求及定義機密等級進行相關保護措施,並應符合甲方要
求及符合現今科技水準之資訊安全保護措施。乙方應依其所屬人員之工作範圍及職級,訂定不同之存取權限,並記錄
所有存取紀錄。
乙方應遵守所有現行資料保護及保密之相關法令及資訊安全標準規範之規定,並應訂定內部資訊安全相關之作業標準
,若有違反任何規定及本合約書之保密約定情事發生時,應立即通知甲方。甲方認有必要時,並得隨時於本合約委託
事務之範圍內進行檢查,乙方不得拒絕。
•
乙方瞭解並確認乙方由甲方取得關於客戶名單之任何資料及因履行本合約書取得之客戶所有資料及紀錄,均為甲方之
機密資料,乙方應遵守個人資料保護法之相關規定(以下合稱個資法),並負保密義務。乙方不得作任何形式之客戶資料
複製留存、買賣、租賃、使用或揭露客戶資料予任何第三人,亦不得使用該等資料做本合約外之用途,若違反個資法
係由乙方暨其相關人員所致,應由乙方全權負責,乙方並應賠償甲方因此所致之損失,包括但不限於甲方遭行政機關
處罰鍰或求償金額、律師費、訴訟費用等,並依受害之客戶人數以每一人新台幣2萬元計算懲罰性違約金。乙方並應協
助甲方對外說明,並於所有訴訟程序中,協助甲方舉證已盡相關之注意義務。
•
若乙方未能依個資法規定及甲方制定之相關標準作業程序處理及利用個人資料,而造成個人資料被竊取、洩漏、竄改
或其他侵害者,乙方應立即告知甲方並查明原因,且依甲方之指示及指示內容通知當事人。
•
若甲方有相當之事實發現乙方人員可能涉及違反本合約或其他相關法令規定之行為時,乙方應盡最大努力協助甲方調
查,並提供所有需要之資料,並為各項必要之配合行為。甲方認有必要時,並得隨時於本合約委託事務之範圍內進行
檢查,乙方不得拒絕。乙方應依甲方之指示,定期銷燬甲方所提供之收貨人資料及客戶資料。
•
乙方及其人員無論在本合約期間或合約屆滿、終止或解除後,均不得違反本條之保密義務,否則應負刑事責任及並賠
償甲方因此所受之一切損失。
29
綜觀個資法
了解損害賠償責任/罰則,包含民
事、刑事、行政
30
法律責任 - 民事1
• 民事損害賠償之構成要件分析
– 公務機關採無過失責任(個資法第 28條第 1項)
• 只要能證明個資受侵害係因公務機關造成,無論公務機關有無
過失,均有賠償責任。
– 非公務機關之舉證責任倒置(個資法第 29 條)
• 原告仍須舉證其個資係由被告所侵害,只是不用證明被告係故
意或有無過失。
31
法律責任 - 民事2
• 個資法第 28 條
一. 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他
侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不
可抗力所致者,不在此限。
二. 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害
者,並得請求為回復名譽之適當處分。
三. 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法
院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
四. 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求
損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實
所涉利益 超過新臺幣二億元者,以該所涉利益為限。
五. 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,
不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
六. 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承
諾或已起訴者,不在此限。
32
法律責任 - 民事3
• 個資法第 29 條
– 非公務機關違反本法規定,致個人資料遭不法蒐集、處
理、利用或其他侵 害當事人權利者,負損害賠償責任。
但能證明其無故意或過失者,不在此 限。
– 依前項規定請求賠償者,適用前條第二項至第六項規定
。
• 個資法第 30 條
– 損害賠償請求權,自請求權人知有損害及賠償義務人時
起,因二年間不行 使而消滅;自損害發生時起,逾五年
者,亦同。
33
團體訴訟 - 民事4
• 個資法第 34 條
一. 對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或
公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施
權者,得以自 己之名義,提起損害賠償訴訟。當事人得於言詞辯論
終結前以書面撤回訴訟實施權之授與,並通知法院。
二. 前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受
有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社
團法人授與訴 訟實施權,由該財團法人或公益社團法人於第一審言
詞辯論終結前,擴張應受判決事項之聲明。
三. 其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施
權者, 亦得於法院公告曉示之一定期間內起訴,由法院併案審理。
四. 其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公
告。
五. 前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法
院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之
,其費用由國庫墊付。
六. 依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超
過新臺幣六十萬元者,超過部分暫免徵裁判費。
34
法律責任 - 刑事
• 個資法第 41 條 違反
•
•
•
•
•
•
第六條第一項、特種個資
第十五條、公務機關特定目的之利用
第十六條、公務機關特定目的外之利用
第十九條、非公務機關特定目的之利用
第二十條第一項規定,非公務機關特定目的外之利用
或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,
足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺
幣二十萬 元以下罰金。
修法3:違法者若非意圖營利,不課以刑責(無法緩施)
意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一
百萬元以 下罰金。
• 個資法第 42 條 意圖
– 為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為
非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生
損害於他人者,EX:家樂福的澳洲人風波
– 處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以 下罰金。
35
法律責任 - 行政1(非公務機關)
• 個資法第 47 條
– 非公務機關有下列情事之一者,由中央目的事業主管機關
或直轄市、縣( 市)政府處新臺幣五萬元以上五十萬元以
下罰鍰,並令限期改正,屆期未 改正者,按次處罰之:
一、違反第六條第一項規定。特種個資
二、違反第十九條規定。非公務機關特定目的之利用
三、違反第二十條第一項規定。非公務機關特定目的外之利用
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之
命令或 處分。
36
法律責任 - 行政2(非公務機關)
• 個資法第 48 條
– 非公務機關有下列情事之一者,由中央目的事業主管機關或直轄
市、縣( 市)政府限期改正,屆期未改正者,按次處新臺幣二萬
元以上二十萬元以下罰鍰:
一. 違反
第八條 - 直接取得告知、或
第九條 - 間接取得告知規定。
二. 違反
第十條 - 答覆查詢、提供閱覽或製給複製本、
第十一條 - 請求更正或補充、
第十二條 - 適當方式通知當事人或
第十三條 - 受理准駁之決定規定。
三. 違反
第二十條第二項 - 當事人表示拒絕接受行銷、或
第三項 - 並支付所需費用規定。
四. 違反
第二十七條第一項(應採行適當之安全措施)或未依
第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
37
法律責任 - 行政3(非公務機關)
• 個資法第 49 條
– 非公務機關無正當理由違反第二十二條第四項規定者 規避、妨礙或拒絕檢查或處分,由中央目的事業主 管機
關或直轄市、縣(市)政府處新臺幣二萬元以上二十萬
元以下罰鍰。
• 個資法第 50 條
– 非公務機關之代表人、管理人或其他有代表權人,因該
非公務機關依前三條規定受罰鍰處罰時,除能證明已盡
防止義務者外,應並受同一額度罰鍰之處罰。
38
人別條款
• 個資法第43條
中華民國人民在中華民國領域外對中華民國人民犯
前二條之罪者,亦適用之。
• 個資法第44條
公務員假借職務上之權力、機會或方法,犯本章之
罪者,加重其刑至二分之一。
39
告訴vs公訴
第四十五條
- 本章之罪,須告訴乃論。但犯第四十一條第二項之
罪者,或對公務機關犯第四十二條之罪者,不在此
限。
修法4:取消告訴乃論(如41條第一項修法通過則自動
刪除)
40
法律責任總結
資料來源:
網路
41
42
個資外洩管道
駭客攻擊
內部程序疏失
不受控人員
委外
43
個資事件思考步驟
故意刑事、民事
人為問題
過失民事
查證
應補強未補強民事
技術漏洞
確認個資事件
發生之原因
44
當時科技或技
未能補強 術水準可合理
期待之安全性
不可抗力??
可否主張
免責??
個資事件討論
• 綠O科技公司卡洩漏個資事件
• 紅O科技線上金流平台交易資料外洩
• 博O來事件-網路購買套票
– 洩漏477位個資
• 460人以NT$2600元套票+NT$500元e-coupon合解
• 17人提告,求償NT$90,000 + (16*NT$100,000) = 169萬
– 賠償金額f(教育程度、身分、社會地位、經濟狀況)。
– 賠償金額NT$191,000。平均每人NT$11,235。
45
個人資料生命週期
46
個人資料生命週期1
蒐集
• 蒐集個人資料之理由、方法與告知義務
• 確認個人資料之正確性及是否得以直接或間接識別
特定個人
使用
• 符合特定使用目的
• 符合組織政策之內部使用規範
存取
• 存取個人資料之權限管理
• 委外或外包廠商之資訊安全管理
47
個人資料生命週期2
傳輸
• 個人資料傳輸過程中之安全(加密或安全網路)
儲存
• 個人資料新增及修改之作業程序
• 存放個人資料場所及設備之安全管理
• 備份或歸檔後之資料安全
清除
• 個人資料刪除或報廢之安全處理程序
48
組織個資管理制度之建立
49
組織要為個資做何處置?
• 個資法第 18 條
– 公務機關保有個人資料檔案者,應指定專人辦理安全
維護事項,防止個人資料被竊取、竄改、毀損、滅失
或洩漏。
• 個資法第 27 條
– 非公務機關保有個人資料檔案者,應採行適當之安全
措施,防止個人資料被竊取、竄改、毀損、滅失或洩
漏。
50
個資生命週期管理
• 適法性調查
• 建立與維護個人 • 擬定個資保護策 • 資料安全管理及
• 界定個人資料之 資料檔案清冊
略
人員管理
範圍
• 個人資料檔案之
• 事故之預防、通
• 訂定個資保護政 衝擊評鑑
• 個人資料蒐集、 報及應變機制
策
• 個人資料檔案風 處理及利用之內
• 成立管理組織配 險評鑑
部管理程序
置相當資源
• 認知宣導及教育
訓練
Source: 中華民國資訊軟體協會個人資料保護服務網
51
• 資料安全稽核
機制
• 必要之使用紀
錄、軌跡資料
及證據之保存
• 個人資料安全維
護之整體持續
改善
組織個資管理制度之建立
• 【個資法實施前】
–
–
–
–
規劃與準備
清查與評鑑
建立管理制度
落實管理制度
• 【個資法實施後】預計2012.10.1
– 稽核與保全
– 維運與改善
52
適法性調查
53
個資保護管理趨勢與標準規範
國際個資管理發展
趨勢、標準、作法
可識別之個人資料
(Personal Identifiable
Information, PII)
出生年月日
護照號碼
職業
身分證字號
姓名
醫療
病歷
聯絡電話
犯罪前科
家庭
指紋
• OECD Guidelines
• APEC Privacy Principles
個資項目盤點與
隱私衝擊評鑑
•
•
•
•
•
What (個資盤點)
Where (個資來源)
Why (使用目的)
Who (利害關係人)
How (個資流程)
個資管理與防護
• 個資分類分級 /
風險評鑑結果
( 普、中、高)
• 風險處理對策
• 風險處理計畫
• 個人資料保護管理要點
• 個資保護流程與安全措
施
- 個資蒐集
- 個資儲存
- 個資處理
- 個資傳輸
- 個資銷燬(淨化)
性生活
婚姻
• ISO 27001
• NIST SP800-122 / 53
• BS 10012
個資風險評鑑
財務
通訊地址
• 個人資料保護法
國際個資相關法律、 • 個資法施行細則
規範、標準、指引 • 資訊系統分類分級與
鑑別機制參考手冊
54
• ISO 27001
• 個人資料保護法
• 個資法施行細則
• 資訊系統分類分級與
鑑別機制參考手冊
• 個資法施行細則
• 電子資料保護參考指引
• 安全控制措施參考指引
機關隱私權政策-範例
1.本中心應依法定職掌蒐集個人資料,蒐集範圍以能完成法定目的之最少資料為限
。
2.本中心應鑑別個人資料,依業務需求賦予資料存取權限。
3.本中心對個人資料之處理及利用,應於特定目的必要範圍內為之,並確保其正確
及完整。
4.本中心所持有之個人資料,於依法令提供其他機關使用時,該機關應備具資安規
範及保護機制,並依法使用本中心提供之個人資料;該機關並應事先檢具相關
文件供本中心核備。
5.本中心個人資料於儲存及傳輸時應有適當安控機制,並得以遮罩、縮減、亂碼等
方式保護。
6.本中心應訂定資料利用之有效期限,並於期限屆滿或目的消失時,主動進行刪除
銷毀。
7.本中心個人資料遭竊取、竄改、洩漏或其他侵害時,應成立緊急應變小組處理,
並於查明後依法通報。
8.本中心應分派各專責單位辦理資料維護、管理及安全防護等相關事項。
55
成立管理組織,配置相當資源
法源要求:「個人資料檔案安全維護計畫(規
定)」應訂定程序文件,內容應符合:施行細
則第9條:適當安全維護措施:
一、成立管理組織,配置相當資源。
管理代表
( 召集人)
副首長
個資保護工作
組長
資訊人員/人事
主管
個資保護專員
(各部門主管
指定兼任)管
理處
個資保護專員
(各部門主管
指定兼任)企
劃處
個資保護專員
(各部門主管
指定兼任)發
展處
稽核小組
法務人員/技術
人員
個資保護專員
(各部門主管
指定兼任)總
務處
56
委外合約管理
(委外廠商代
表)
委外採購處
認知宣導及教育訓練
• 產出:個資保護認知宣導及教育訓練
• 協助角色:個資保護工作組長、個資保護專員
• 法源要求:「個人資料檔案安全維護計畫(規定)」
應訂定程序文件,內容應符合:
– 施行細則第9條:適當安全維護措施:
• 七、認知宣導及教育訓練。
• 作業要點:
– 參與訓練人員:全組織,包含 • 組織之代表人、管理人或其他有代表權人
• 組織內負有日常個資保護責任之人
• 依據個資清查結果,保管高衝擊程度個資之人員
57
建立與維護個人資料檔案清冊
個人資料檔案清冊,包含:
1.個人資料流程清查(DFD資料流程圖)
2依據資料流程圖資料流程圖,產出個人資料檔案清查列表(如下)
個人資料檔案
檔案名稱1
電子檔案
網頁
◎
資料庫
備份
◎
檔案名稱2
◎
檔案名稱3
檔案名稱4
紙本
◎
◎
◎
個人資料檔案盤點:
1.人工盤點:使用DFD流程圖尋找個資檔案
2.使用工具盤點:如Varonis
3.使用雲端工具:教育機構防洩漏個資掃瞄平台(成大資通安全研發中心)
58
DFD基本符號說明
59
DFD流程圖第1階-範例
60
個人資料檔案之衝擊評鑑
個人資料檔案
檔案名稱1
電子 網頁 資料 備份 紙本 普級 中級 高級
檔案
庫
◎
◎
◎
可識別性
◎
個資數量
◎
資料之敏感程度
◎
特定目的範圍
◎
執行法定職務或是履行
法定義務所必要
◎
外部利用
◎
國際傳輸
◎
檔案名稱2
◎
…
61
個人資料檔案風險評鑑
• 個人資料檔案風險評鑑報告,包含
– 個人資料流程清查(DFD資料流程圖)
– 個人資料檔案之衝擊評鑑報告
– 弱點掃描報告
62
擬定個資保護策略1/2
原則
作業
一、防止訴訟成立
1. 防止大量個資不
當揭露
• 個資資料報表輸出(含網頁、紙本等)標示使用者代號、輸
出時間等內容,並建立保護機制,無法任意修改。
• 資料轉存於個人電腦之檔案規劃加密儲存、設定密碼及
留存紀錄等功能,並於檔案或報表中註明轉檔資訊。
2. 適當遮隱確保無
法識別
• 個資資料輸出(如報表、螢幕及檔案)採最小揭露原則,
例如資料顯示採用遮隱等方式,使個人資料不易以直接
或間接方式識別。
3. 損害因果推論得
不成立
• 透過網際網路傳輸個人隱私資料時,建立安全連線傳輸
機制,使用安全性連線方式傳輸,(如:SFTP及HTTPS)
• 傳遞個人隱私資料,運用加解密機制,例如使用公開金
鑰技術(PKI),以憑證的金鑰進行保護,並使用憑證方
能解密。
63
擬定個資保護策略2/2
原則
作業
二、降低損害賠償
1. 採取適當安全維護 • 機密性及敏感性的個人隱私資料,以識別與鑑別控制措
施保護,例如多因子驗證技術及遠端連線控制。
措施,以盡善良
管理之責任
• 針對個人隱私資料之備份,維持與原資料相同的保護等
級與方式。
2. 擬定軌跡資料蒐集 • 系統能完整記錄資料異動之軌跡,以因應當事人提出有
之範圍與內容
正確性爭議時,予以更正或註記爭議功能。
• 個人隱私資料之上傳、下載、新增、修改、刪除、列印
等處理,記錄「人、事、時、地、物」之稽核軌跡紀錄。
三、最小化原則
1. 個人資料之蒐集、 • 外部機關/系統使用本系統之個人隱私資料,確保有法
令依據或主管機關核准。
利用及保存最小
化原則
64
資料安全管理及人員管理
• 產出物說明:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
媒體標記
強化之資訊系統
可供查驗之資訊系統
強化之媒體保護系統
強化之媒體傳輸保護系統
識別與鑑別系統
強化之存取控制系統
強化之通訊系統與加密保護
強化實體環境保護
人員安全管理程序
強化之監視系統
稽核紀錄的監控、分析及報告系統
65
組織機關對於個資保護的因應之道
• 不要讓訟訴發生 -- 高築牆
– 提升內部管理能力,導入管理系統
• 避免人為問題,如:故意(刑事、民事)、過失(民事)
– 轉嫁風險
• 為訴訟發生準備;如果訟訴發生,想辦法贏得訟訴或想辦
法將損失降至最低 -- 廣積糧
– 拼舉證能力,證明無過失
– 自動化系統設備
• 避免技術漏洞,如:應補強未補強(民事)、(當時科技)未能補強(拼主張免責)
• 如果有個資事件發生,不可未經法務咨詢擅自對外發表聲
明 -- 緩稱王
– 應查明後以適當方式通知當事人(個資法第 12 條 )
• 施行細則第18條 - 依本法第十二條通知當事人,其內容應包括個人資料被侵害
之事實及已採取之因應措施。
66
以日本為例,日本在2003年立法,2005年實施個資法。
他山之石
67
洩漏的人數與大量案件數目
洩漏的人數在第三年後快速下降
人數與大量案件數目
3500
3000
2500
2000
1500
1000
500
0
人數(萬)
案件數目
2005
2006
2007
2008
2009
2010
881
1032
2224
993
3053
864
723
1373
572
1539
558
1679
68
洩漏的人數與損害賠償總金額
人數與總金額同時在第三年達到最高
人數與損害賠償總金額
25000
20000
15000
10000
5000
0
人數(萬)
金額(日圓億)
2005
2006
2007
2008
2009
2010
881
5328
2224
4570
3053
22710
723
2367
572
3890
558
729
69
日本洩漏事件分析及
台灣個資法趨勢預測
• 日本洩漏事件分析
– 行業別
• 以金融業最多,再來是資訊及通訊科技業,及學術研究/專門技
術服務業
– 原因
• 以管理不善最多
• 台灣個資法趨勢預測
– 如果實施日期在2012年下旬,預計求償高峰在2014 –
2015年出現
– 初估2013年個資求償訴訟標目可達100億,最高峰可達
300 – 500億。
70
整體個資保護架構(§9)
端點及周邊設備安全
資安
防護
建置
1.
2.
3.
4.
個人電腦安控軟體
1.
安裝防毒軟體
2.
弱點之安全性更新
3.
4.
電子郵件之垃圾信、病毒過
濾、警覺性測試
設備安全5.
網路及系統安全
程式與資料安全
1.
內外網實體隔離
2.
部署多層次資安設備
3.
部署網站應用程式防火牆
4.
建置分散式阻斷攻擊防護
定期安全檢測與弱點掃描資料安全及
原碼檢測與黑箱測試
資料交換傳輸加密
帳號權限控管與隱私遮罩
稽核紀錄收集、稽核風險事
件告警與查核
管理
人員管理
Firewall
資安
服務
管理
資安
治理
71
資料安全稽
核機制
Log
Website
個資蒐集、
處理及利用
管理機制
Email Gateway
Log
安全監控與處理 / 日誌管理與稽核
事故預防、
通報及應變
機制
SOC資安事件監控
ISO 27001 資訊安全管理系統
界定個資範
個資風險評估
認知宣導及
安全維護及持
先導評估、安全教育、建立安全組織、擬定資訊安全政策、進行風險評估與審查、文
管理組織
圍
及管理機制
教育訓練
續改善措施
件制定與整合、人員教育訓練 / 驗證事件處理機制、內部稽核
個資生命週期與對應產品
•
資料蒐集
利用/存取/傳輸
儲存
資料備份與備援
防火牆
弱點掃描
防毒軟體
lM 管控
防
禦
內
對
外
資
料
外
洩
入侵偵測
伺服器與網路監控
Web 應用防火牆
72
清除/銷毀
E-Mail 管控
資料加密
DB 安全稽核
網路稽核
端點安控
防
禦
外
對
內
入
侵
竊
取
About HGiga
桓基科技為國內軟體開發廠商,主要從事
各項專業防火牆,與應用程式技服的技術
原廠,銷售服務據點遍及台灣、中國、馬
來西亞及越南等地,近年積極朝行動通訊
應用與雲端服務發展。
發展方向
• 全產品個資保護驗證技術
• 公有、私有雲營運模式
• 個資顧問諮詢
73
營業項目
• 人事差勤/規費罰鍰的表單應用系統
• 人員和車牌的辨識系統
• 多媒體的廣播管理系統
• 網路/網頁防火牆產品
• 郵件個資稽核伺服器/防火牆產品
獎項與認證
2011
榮獲國家玉山獎「最佳產品獎」
2011
榮獲「中國資訊安全值得信賴品牌獎 」
2011
榮獲優良廠商頒發「第一品牌」、「消費者評價第一名」
2010
榮獲「國際發明國光獎章」
2010
榮獲「傑出資訊應用暨產品獎」
2010
榮獲「IPv6 Ready Logo」
2009
榮獲「Best Choice of COMPUTEX TAIPEI Award」
2008
榮獲「中小企業創新研究獎」
2008
IBM Express Advantage 郵件備份廠商
2008
通過 CMMI® Maturity Level 3 國際認證
2007
通過 ICSA labs Firewall Certification Criteria
Version 4.1a 國際認證
2006
榮獲資訊安全雜誌產品獎(Information Security
國際三大品質認證
•
•
•
榮獲 IBM 黃金經銷商
2003
通過 Intel Solution Center 的功能及效能認證
2003
榮獲 Linux 黃金企鵝獎的認證
2002
通過機關表單簽核流程自動化基本規範
2002
通過 TCA Linux 測試認證
通過德國技術聯盟 (TÜV) 認證
其他認證
與獎項
榮獲 SC Global Awards
榮獲資訊管理獎
通過 West Coast Checkmark 測試認證
74
ICSA Labs 國際防火牆認證
IPv6 Ready 國際認證
國家五大 IT 獎項肯定
•
三年度資訊界最高大獎「傑出資訊應
用暨產品獎」
Magazine Product of the Year Awards)
2004
CMMI ML3 軟體品質國際認證
•
Best Choice of Computex Taipei
Award
•
•
•
中小企業創新研究獎
兩年度Linux黃金企鵝產品獎
2012年台灣精品獎

similar documents