個資戲法人人變.十家IT九家騙!
2012.9.13
由於「個資法」這種題材,很容易被搞IT的業者在行銷話術上,操作成「買我的solutions(eg. 安控、防毒防駭、個資盤點、文件版本控制、EIP…etc.)個資法才能過關」,所以近來各家業者動作頻頻,張牙舞爪,紛紛努力迎向政府的新法所賜予的商機。
真是這樣嗎?我們且回到個資法來檢視看看。
第19條,是非常基礎性的規範,要求民間單位在蒐集處理個人資料時,必須符合條件之一:「法律有明文規定、與當事人有契約或類似契約之關係、當事人自行公開或其他已合法公開之個人資料、學術機構的公益研究且已隱藏當事人足資識別的個資、經當事人書面同意、與公共利益有關、個人資料取自於一般可得之來源而且當事人並未就該資料之禁止處理或利有更值得保護之重大利益者…」、並且「蒐集或處理者知悉或經當事人通知禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料」。
第27條第1、2兩項,更是這次個資法修正,對於民間機構規範的核心:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」、「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法」。而依個資法施行細則草案第9條裡,更把這樣的安全維護措施必須涵蓋的11個要素,具體列明「1. 成立管理組織,配置相當資源/2. 界定個人資料之範圍/3. 個人資料之風險評估及管理機制/4. 事故之預防、通報及應變機制/5. 個人資料蒐集、處理及利用之內部管理程序/6. 資料安全管理及人員管理/7. 認知宣導及教育訓練/8. 設備及安全管理/9. 資料安全稽核機制/10. 必要之使用記錄、軌跡資料及證據之保存/11. 個人資料維護之整體持續改善」。這些項目,我們認為實質上是依循著內部控制制度與法令遵循計畫的精神和作法,對企業應如何因應個資法,作出較為明確的規範。
光談上面這兩個條文,就能清楚知道不是單靠軟體就能勝任的了。公司必須依自己的預算能力以及所需保護的個資之強度與數量,設計出一套至少能交代得過去的安全維護計畫。其主要原因很簡單:「小事不辦、重罰伺候」!怎麼說呢?
個資法第48條規定,第27條的義務倘若不遵守,政府可以限期改善;逾期不改善,可以按次開出二萬到二十萬元的罰單。此外,依據第29條,倘若企業違反法令而有個資外流等侵權情形時,要賠每位受害者$500到$20,000,最高判賠金額可以到二億元!但如果能證明對於個資的外流或盜用,自己並無故意或過失的話,就可以免賠(第29條第1項但書)。而要證明自己無故意或過失,把公司嘔心瀝血之「安全維護措施」及其有效執行的證據給端出來,比說破嘴皮子還能讓法官信服。換句話說,倘若公司已經採行必要安全措施,但所保管的個資依然外洩,是因為被中國的網軍發動攻擊(其戰力強大,連美國五角大廈都能駭得進去…),法官大致上都可以接受公司已經善盡管理人責任的說法,而免除賠償之責。但是,萬一公司並未採行有效的措施,判決結果勢將大不相同。
如果只是讓每個人在個資被洩露時充其量只能得到這種賠償金,從一般台灣人怕麻煩、不願上法院的習性來看,我們並不認為這部分會對企業造成鉅大壓力;然而,新個資法特別允許,只要是符合條件的財團或社團法人,兜出20個以上的被害人,就可以委任律師來打團體訴訟,而經常令人望之卻步的高額裁判費還可以獲得減免!這種規範,必會催生無數對於企業的求償訴訟,我們將拭目以待。
總之,企業萬萬不能誤以為「抽屜有上鎖,電腦設密碼」就能被拿來當成答辯;但也別病急亂投醫,被那些只圖眼下利益的無良IT廠商牽著鼻子走動輒花下數百萬元買軟體求心安。一切,都得回歸到法條的核心,從掌握程序上「控制點」的觀念出發,建立合乎自己企業流程的安全維護計畫,才是正辦。