◎ 曾更瑩
台灣個資外洩事件頻傳。企業違反個資安全維護之責任,在今年五月個資法修法後,變更為主管機關得逕裁罰同時命其改正,情節重大或屆期未改正者,罰鍰上限提高至一五○○萬元,並得按次處罰。
然道高一尺,魔高一丈,駭客竊取個資之手法不斷翻新,企業必然會擔心,即使採取了個資法相關規定之適當安全措施,個資一旦外洩,就會遭到主管機關裁罰。實則按照修正後之個資法,並非「只要企業發生外洩事件主管機關必然逕行裁罰」;關鍵在於,企業是否已依個資法第廿七條第一項「採行適當安全措施」以及依同條第二項依主管機關規定訂有「安全維護計畫」或「業務終止後個資處理方法」。
企業是否已採行適當安全措施,相信主管機關在認定時,必會參考相關行業在一般技術、資安標準上的處置方式。以iRent外洩案為例,雲端中暫存客戶資料並無設定加密、任何人取得網址後都能直接閱覽相關資料,欠缺有效安全防護。相反的,對照日本LY Corporation個資外洩事件,根據其公開說明,雖受駭客攻擊,但可直接辨識用戶身分之個人資訊,均受到雜湊函數遮罩保護,可大幅減少資料外洩衍生的二次損害,防護程度較高,與歐盟GDPR鼓勵業者為盡個資安全維護義務所採取之加密或假名化措施之效果類似。
另各主管機關依產業特性,訂有不同之個人資料檔案安全維護計畫及處理辦法,要求企業為個資保護規劃、管理措施、業務終止後處理方式及紀錄機制等規範。企業不只應訂定辦法,並應積極執行相關措施,作為已盡個資安全維護義務之明證,以免遭致裁罰;企業是否落實相關辦法要求、事故發生後是否能提出有效的改善方案,均屬主管機關裁量開罰的依據。
個資法的原則是對「違反義務」的行為進行開罰,而非有外洩就必然開罰。企業只要持續採取安全措施、落實個資安維計畫,就無須過分擔心駭客攻擊對營運產生的法遵風險。畢竟善盡法遵的企業,與受影響之個資當事人,同為駭客攻擊行為的被害人,而非加害者。駭侵手法日新月異,「零攻擊與零外洩」是不切實際的管制目標;持續動態的精進管理措施、發現問題積極通報應處,才是企業個資保護長期抗戰的關鍵。
(作者是理律法律事務所合夥人,本文屬於個人意見)
編輯精選
自由評論網粉絲團