iThome
企业需重视2023年个资法修法,裁罚金额与方式已经改变
由于过去上市柜公司的重大讯息发布,我们很少看到这方面的资安事件,但2023年后的变化却是如此明显,这背后的原因是什么?虽然大家可能已经注意到去年个资法修法,还有个资保护委员会将要成立,但这些动向对企业又呈现出何种意义?
对此问题,关注个资法遵议题超过十年的达文西个资暨高科技法律事务所所长叶奇鑫表示,自从前几年我国不断传出个资外泄与诈骗事件,如今政府对于个资保护的规范,是越来越严格。
对于2023年个资保护的态势变化,他认为,从2022年下半年开始,整个个资保护的氛围,就已经变得不同。不论是否为上市柜公司,都会受到两大监管压力,一是中央目的事业主管机关,一是165反诈骗咨询专线,如果是上市柜公司,还会面对来自证交所、金管会的压力。换言之,个资法的修正不仅影响上市柜公司,也将影响普遍企业。
到了2023年5月个资法修法通过后,6月2日生效,更是带来新的转变。因为违反个资法的罚锾从过去2万到20万元,修改为2万到200万元,情节重大者可处15万元到1,500万元。
而且,裁罚的方式也有变化,之前是要求限期改正、不一定会罚,现在是迳行处罚时同时命令改正,也就是「一定会罚」。这主要是因为政府展现积极打诈的决心,将这些机制涵盖于打诈5法。
从这一年来的台湾个资外泄开罚的状况来看,可以印证这个观点。例如,数位部产业署在2023年5月,就曾针对虾皮开罚,该公司个资保护程序没做好,委外厂商未落实监督管理等,且届期仍未改正,甚至态度恶劣,被开罚当时最高的20万元。
到了2024年1月,雄狮因两个月前遭骇事件,被交通部依个资法开罚200万元。之所以罚锾增加,就是因为个资法裁罚金额与方式改变,至于重罚的原因,我们推测可能与该公司是近年第二次遭骇有关。
单就上市柜公司而言,我们还发现,先前数位部产业署在2023年5月也曾针对诚品生活开罚,到了下半年,我们则是看到诺贝儿、雄狮发布遭个资法裁罚的重大讯息。相较之下,之前诚品发生这类状况时,并未发布这方面的重讯,显然,现在这方面的资讯揭露,将开始成为业界常态。
不仅如此,企业需体认到一件事:现在需要更明确的揭露个资外泄事件。
最近我们注意到,在2024年1月,上市运动休闲业者柏文发布的重大讯息,公告了旗下健身工厂会员个资遭骇客窃取事件的说明,虽然这发生在2023年7月,但在重讯标题上,已经清楚写明本次事件与个资遭窃有关。
此外,我们发现证交所最近有修订规范。在2024年1月18日公布的新版「重大讯息发布应注意事项参考问答集」,首度明确规范资安事件的「重大性」标准,包括:公司的核心资通系统、官方网站或机密文件档案资料等,遭骇客攻击或入侵(包括遭入侵、破坏、窜改、删除、加密、窃取、DDoS等),致无法营运或正常提供服务,或有个资外泄的情事等。即属造成公司重大损害或影响。言下之意,涉及个资外泄的资安事件,确实已经明订要发布重大讯息。
对于我们观察到的这些现况变化,叶奇鑫指出,2023年只是开始,当企业看到越来越多同业揭露曾遭遇骇客攻击、以及揭露因个资法被罚,会更明确感受网路攻击的风险,察觉法规已有变化。
一年后个资保护委员会即将成立,届时个资规范与要求还会再升级
为了让大家更清楚个资保护规范的态势,叶奇鑫针对近年我国个资保护的重要变化,提出详细说明。
自2021年8月开始,行政院决议成立行政机关落实个人资料保护执行联系会议,到了2022年7月,行政院订颁「新世代打击诈欺策略行动纲领」,此后一旦公司发生个资事故,就必需通报主管机关,然后主管机管要通报国发会与资安主管机关,还要副知中央主管机关(行政院),若是大型事件,更是会亲自召开会议出来管。
换言之,从2022下半年开始,建立这个标准流程之后,变成每件个资事故都不会逃过政府的监管。这也意味著,未来个资保护将成为企业更大的挑战,其原因就是:政府开始加重打诈的力道,立法院也通过这方面的修法。
而2023年新版个资法的推出,对于企业而言,有两点需要特别重视。
首先,第1条之1,增订「个人资料保护委员会」为个资法主管机关,此事的源头是111年宪判字第13号,大法官要求要设立个资保护专责机关机制,也就是专责机关。如今,这个备受外界关注的个资保护委员会,已在最近2023年12月成立筹备处。
其次,第48条,针对违反安全维护义务,修正了裁罚的上限与方式,改为应处2万元到200万元的罚锾,情节重大者更是可处15万元到1,500万元,并且是迳行处罚时同时命令改正。相较之下,过去这方面的最高罚锾,只有20万元,而且仅要求限期改正,且不一定会罚。
叶奇鑫提醒,未来的个资规范与要求还会再升级。这是因为,个资保护委员会组织法的通过,预计是在2024年底或2025年第一季,也就是说,之后就会设立成为正式机关。届时,个资法裁罚将会迈入下一篇章。不像过往一直没有专业且独立的主责机关,而且个资法也势必将迎来第3次大修法。
过去没做好个资保护的准备,如今企业不能再无视
从最近的企业因个资外泄遭罚案例,我们可以发现存在裁罚机关不同的情形,像是雄狮是受交通部裁罚,诺贝儿是受高雄市政府裁罚,因此,不全然是中央目的事业主管机关。
对此,叶奇鑫认为,就目前现况来看,的确会有管辖重叠的状况,这可能需要政府纵向与横向的沟通协调。毕竟,不论地方政府或中央目的事业主管机关,两者同样有这方面的权限,而一家公司如果跨不同产业,也可能受不同主管机关所管辖。这的确是未来政府监管上,需要注意的问题。
但对于企业而言,重点是不要以为只是外泄用户的个资、事不关己,因为,现在已有上市柜公司遭个资法裁罚200万元的情形。
叶奇鑫认为,光是注意其他公司受个资法开罚这件事,就是好的开始。因为很多企业不知道2023个资法已经修法。
「只有知道规范现况,才能更主动因应。」叶奇鑫强调,普遍企业因为还没出事,所以可能没有感觉,但是,现在只要一发生这类状况,企业若是仍没有准备,就会遭受很大的冲击。
这是因为,现在针对个资外泄事件,政府的行政检查都是整套在进行,还会有附带检查,也就是不仅止于这次事件所发现的问题,还会针对公司整体个资保护、资安盘查。以了解公司在事件中应负起的责任,进而决定轻罚与重罚。
换言之,如果企业平常没有做好个资保护,不论是程序书、管理规定、个资盘点,当事件爆发、企业在面对行政检查时,往往连这些基本文件都缴交不出来,此时面临重罚的可能性自然更高。
双管齐下!政府祭出行政裁罚与行政规范,也提供相关实作指引手册
最后我们要提醒大家的是,企业不只面对上述个资保护行政裁罚,还需留意各产业也有对应的行政规范需遵循。
这是因为,针对不同产业,各部会将制定个人资料档案安全维护管理办法,若企业违反规定,政府同样可以开罚。
这部分最受瞩目的焦点是,近年国内电商个资外泄情形越来越严重,因此,数位发展部2023年10月依据个资法第27条第3项规定,订定「数位经济相关产业个人资料档案安全维护管理办法」,要求订定安全维护计划,并可派员到场实施个资检查。若业者违反这项办法,最重将开罚1500万元。
而受此项规范约束的产业,不只涵盖综合性电商,还有软体出版业、其他资讯服务业,以及第三方支付服务业等。
值得企业关注的是,这些个资维护管理办法,其实涵盖了多种产业。换言之,不是只有电商相关业者要重视。
举例来说,以个人资料档案安全维护管理办法而言,针对的产业还有很多,单以近期来看,还包括:综合商品零售业,制造业及技术服务业等众多产业。
另一方面,有些企业可能仍不知如何保护个资,对此国内主管机关也打算出手帮忙,正在制定相关实作指引文件,引导企业落实。
例如,为了帮助电商业者落实个资保护,数位部在12月释出指引手册:「有关电商业者落实数位经济相关产业个人资料档案安全维护管理办法参考指引」,让缺乏这方面认知的企业,至少能有一份可依循的资讯,以落实个资保护与管理。而从参考指引来看,也可看出不仅是电商业者,也有针对资讯服务业、网路连线游戏事业等的指引。
综观上述态势,不论上市柜公司、所有不同产业的公司,对于提升个资保护的能力,不论是从管理面、技术面,都不能像过去一样,毫无任何作为。
个资保护法制不再空转,法制专业人力逐渐到位
个资保护不力更成企业营运风险!企业除了关注上市柜公司因资料外泄受裁罚,以及2023年个资法修正,更要注意的是,个资保护委员会筹备处已在2023年12月揭牌,届时个资规范与要求裁罚还会更升级。图片来源/行政院
企业不是不知道个资保护的重要性,因为个资法从2012年实施以来,应该已经引发大家对这方面议题的重视与讨论,但由于多年来几乎看不到相关事件的裁罚,使得只有少数企业愿意主动做好个资保护,不少企业仍在观望、态度消极。
之所以早期少有个资法裁罚,我们认为,这很可能与相关配套不够健全有关,不只是缺乏个资主责机关,也缺乏充足的专业人力。
据我们了解,现在已有很大的改变。例如,过去在法务部时代,负责个资法法制的人力,其实只有3个科员与1个科长,而且这组人马其实同时负责8个法,个资法只是其中之一。
而近年国发会接手之后,就国发会的法制协调处而言,在10个负责的人员当中,就有超过半数具备个资法专业能力。
而根据去年12月行政院发布的相关消息指出,光是个资保护委员会筹备处的初期编制,就有36人,整体编制的员额更高达89名。
可以想见的是,日后企业面对个资外泄事件时,政府在法制面推动工作的专业人力能量大增,那时将完全不可同日而语。
换言之,以后企业组织面对个资外泄事件的局势,就可能面临30多位负责个资法法制的人力,而不是只有4个人在兼办。
美国政府与企业如何强化个资防护?
在关注台湾上市柜公司遭个资法裁罚之余,我们也持续注意国际这类监管议题的态势。以美国为例,当地企业向美国缅因州检察长办公室通报事件,使得事件调查报告曝光于外界,因此我们可以发现,这些公司除了通知受影响的用户,还会提供一年免费信用监控与身分窃盗保护服务,显然与台湾相比有很大的不同。
对此,叶奇鑫表示,美国在一些法制面上很特殊,像是检察长可以代表全州州民对企业提出资料外泄相关的民事诉讼,因为当地有这个制度,企业就会面临很大的诉讼风险,甚至可以看到上百亿的求偿,因此会对企业经营带来相当大的压力。
相对而言,台湾这方面的诉讼风气并不兴盛,这也使得上市柜企业经常认为,事件发生对实质财务风险不高,这是台湾可以改进的部分。
但他也指出,国内在某些方面其实已有进步,像是当发生资安事故时,需要提交事件调查报告,主管机关的报告也要通报至国发会(或未来的个资保护委员会),审完才会结案,因此管控程序已经建立,只是事件调查报告没有对外揭露;关于通知受个资外泄事件影响用户,现在也有严格规定,需要依照政府机关提供的公版发送通知,当中需写明被骇客攻击及说明如何因应。