个人资料保护委员会筹备处组长林逸尘指出,企业不仅要在个资侵害发生前采取适当安全措施,更要有能力证明采用措施的有效性,否则个资侵害事故发生时,仍可能负担行政及民事责任。
个人资料保护,是国际社会越来越重视的议题,近年欧盟和美国的官方及民间都纷纷祭出个资保护相关法规与做法,台湾也于去年3月正式决定要设置个资保护的独立监督机关。
同年5月,立法院通过《个人资料保护法》(以下简称《《个资法》》)修正案,规定「个人资料保护委员会」(以下简称个资会)为此法主管机关。12月,正式揭牌个人资料保护委员会筹备处,负责委员会筹设事项的总体规画、委员会组织法规研拟、《个资法》订修及解释、公务与非公务机关个人资料保护事务规画、个资保护相关人才训练、个资保护科技应用的研究、国内外《个资法》规研究、国际个资保护事务合作等职责。
2024年1月,《个资法》相关业务正式转移到个资会筹备处。3月公听会中,筹备处表示将优先推动个资会组织法规,赋予个资会相关执法监督权限,并研议个资会与各级政府机关、中央或地方目的事业主管机关联系协调合作机制及相关配套规定, 目标是2025年8月11日前正式成立个资会。
在今年资安大会中,个人资料保护委员会筹备处组长林逸尘整理了国内外的个资保护框架及法规,归纳出企业如何强化资安治理,来保护手中个人资料。他更以台湾实际的个资外泄诉讼案,来说明个资侵害事件中,企业资安治理哪些环节不足,会遭到究责。
从欧美个资保护框架看资安治理对隐私的重要性
林逸尘表示,个人资料保护不只要注重CIA(机密性、完整性、可用性),更要注重资料去识别化与加密、物理性或技术性事件中即时回复个资可用性、定期评估个资保护安全性,以及发生个资侵害事件时主动通报等。他说,要做到这些事情,必须由良好资安治理做法来规范。如何做到好的资安治理?他以欧美国个资保护框架及建议做法来说明。
欧洲资料保护委员会(EDPB)制定了《个资侵害通知范例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification),要求资料持有者依照CIA框架辨别潜在个资侵害事件,并依据事件发生的隐私风险,包括可能性与严重性,对主管机关及个资主体主动通报。此指引也列举了勒索软体攻击、资料外泄攻击、内部人为风险、硬体设备或纸本档案失窃、误发邮件以及电子邮件内容外泄等6大主题、共18种个资侵害事件,一一说明这些事件的风险评估和分类方式、建议最佳应对方式,以及典型错误应对方式。
林逸尘指出,这份指引中,CIA是以个人资料风险为主体,而非从系统角度来评估。EDPB定义中,个人资料的CIA意味著:未经授权或意外的存取或传播个资、未经授权或意外的更改个资、未经授权或意外的破坏或遗失个人资料。这也说明,在EDPB眼中,隐私虽是资讯安全一环,但比起系统安全,更加强调个人安全,尤其是个资侵害事件中,个资主体权利如何受到侵害。
眼光看向美国,今年年初由美国国家标准与技术研究所(NIST)发布的网路安全框架2.0(CSF 2.0),于原有5大功能(识别、保护、侦测、回应、复原)的基础上,新增了「治理」为第6个功能,将网路安全风险管理提升到组织营运战略层面。
同时,NIST也提供了网路安全与隐私参考工具(CPRT,Cybersecurity and Privacy Reference Tool),整合了CSF2.0、NIST隐私框架、NIST风险管理框架、ISO/IEC 27000系列等网路安全与隐私保护的标准与框架。使用者可以根据CSF 2.0 6大功能及其子分类,来查询建议实践范例。
林逸尘用CPRT收录的建议实践范例,从6大功能来说明个资保护应该注重的资安治理流程。治理方面,应注重法律及合约要求;识别方面,应注重资料、软硬体、系统、设施、服务、人员的识别、管理和纪录;保护方面,应注重身分管理及验证,以及存取控制;侦测方面,要建立持续监测内外部潜在风险的机制;回应方面,要制定事件管理、分析、回应报告及沟通机制;复原方面,则要有能力执行事件复原计划及事件恢复的沟通。
摄影/郭又华
欧洲资料保护委员会制定的《个资侵害通知范例指引》,以6大主题、共18种个资侵害事件为例,说明不同事件如何评估隐私风险,以及如何依据风险,做出最佳应对方式,以及典型错误应对方式。
企业须证明资安治理措施有效保护个资,发生事故才能免责
看回台湾,资安治理是对台湾企业来说更是不可忽视的议题。林逸尘引用一分资安业者2024年1月研究,台湾6个月内,平均每周遭受2,930次网路攻击,是全球平均的2.7倍。不仅遭受攻击的风险高,一旦发生资料侵害事件,造成他人权益损害,企业还得负担行政责任及民事责任,面临巨额罚款及赔偿。
他以今年刚二审判决的一起饭店顾客个资外泄诉讼案为例,说明企业能如何因为资安治理不当而被究责。
事情经过是,有位民众在饭店消费,后接到谎称饭店客服的骗徒诈走近10万元。原本消费者只寄送存证信函要求饭店删除并不再使用自己个资,却接连收到来自饭店简讯,申诉后才知道,饭店的IT委外厂商曾通知饭店有5,423笔个资外泄,但饭店和IT业者都没有通知顾客,这位受害民众愤而提告。
因为一审只判饭店业者删除并停止利用所有消费者个资。不过,受害民众不服提起上诉后,虽然委任IT业者提供了多项资安作法的证据,例如对非允许IP进行阻挡之截图、针对厂商帐号密码及个人资料 AES256加密机制截图、多重伺服器分散资料、主机帐密权限控管与RSA私钥管理、限定防火墙规则截图等多项文件,法院认定IT业者无法证明自己在个资外泄事件前,有妥善管理及维护相关系统,因而,改判决饭店业者及委任IT业者各赔2万元给消费者。「虽然这次只有各罚2万元,但如果考量行政罚锾最高1,500万元风险,以及5千多名遭外泄民众的求偿风险,企业潜在财务损失非常庞大。」林逸尘指出。
林逸尘进一步解释,饭店及IT业者败诉关键是,消费者没有自行使用、管理个资的能力,举证责任在资料控制方──企业必须证明事前有采取适当安全措施,没有故意或过失,才能免除责任。二审中企业方提供的资料,都只能证明事件发生后的措施,无法证明事前做法保护消费者个资。这个案例说明,企业应妥善分析隐私风险、在个资侵害发生前采取适当安全措施,并有能力证明采用措施的有效性。
现行法规定义下,什么样的措施算「适当安全措施」?林逸尘也进一步解读《个人资料保护法施行细则》第12条定义的适当安全维护措施项目。
第一项是,配置个资管理人员,甚至成立跨单位个资保护执行小组。第二、第三项是盘点组织内各种纸本及数位个资,以资料CIA等特性来评估隐私风险,并依据风险程度订定安全管控程序。第四项则是强调制定事件通报管道,视情形需要联络主管机关及个资主体。第五项,是确保个资搜集、处理及利用方式符合法规。
第六项则要在完成个资隐私风险盘点后,依照风险高低控管不同人员的存取权限。第七项得依照内部人员不同职务来规画专属个资保护的教育训练。第八项是妥善管理有存放个资的设备。第九、第十项要求得建立资安稽核机制,追踪并保存资料安全相关措施的纪录和个资使用过程所产生的纪录,能证明有善尽个资保护责任,以备举证或接受稽核之需。第十一项则是要求企业,得持续改善个资维护做法,包括事故后检讨、时常检视个资保护制度、审视制度落实程度,并保留执行过这些事的文件作为证据。