【2017 資安危機將會暴漲】在看這篇文的同時,也許你的個資就被盜用了

文/蔣哲宇,資策會 律研究員

【我們為什麼要選這篇文章】許多人半輩子辛苦賺來的錢,很有可能在一夕之間遭人竊走。

先前,發生了轟動國際的一銀盜領案,用戶的所有資料與存款,全都在歹徒的掌控中。只要稍有不慎,所有機構都很有可能發生個資外洩的事故,若是政府機關或企業公司的重要資料流落於有心人士的手中,未來會發生什麼重大損失,誰也不可知。(責任編輯:方綺)

回首 2016 過往的結束,迎向 2017 嶄新的開始,隱私保護議題仍不斷被提起,小從蔚為風潮,從 8 歲到 80 歲都人手一抓的寶可夢,是否藉由存取過多的個人資料,而有隱私、甚至是機密的外洩疑慮,大至轟動國際的一銀盜領案,用戶資料及銀行內的現金,如電影情節般,僅透過駭客於彈指之間,便竊取大量用戶資料,進而對銀行獲消費者重大損害;同時,亦不論你是政府機關或企業公司,只有稍有不慎,便有可能發生個資外洩事故,或發生員工監守自盜的情況,而使組織蒙受損失,而違法者更有被判刑的可能。因此,個人資料與資訊安全維護的需求,在新的一年仍應是持續關注的重點。

相較於過往僅對於個人資料保護法條文內容的理解,展望 2017,無論是組織或是個人,更應加強對以下內容的瞭解與認識,以期加強對隱私保護之能力:

跨境隱私保護規則(Cross Border Privacy Rules, CBPR):

目前政府已於 2016 年 APEC 年度部長會議中展現參加「APEC 跨境隱私權保護規則(CBPR)體系」的決心,故在政府機關積極申請加入 CBPRs 的同時,民間企業亦應正視未來於亞太地區經貿發展之趨勢(如南向政策),持續關注評估符合國際隱私保護水平之要求標準,而同時政府機關亦應提供企業明確遵循指引,以一方面促使我國得盡快加入體系,而民間企業亦可同時藉由符合體系審查要求,增加於區域間發展的機會,更可降低國際營運法遵之風險。

資通安全管理法:

於目前國家發展委員會公共政策網路參與平台所公布之資通安全管理法草案(1051013 版),展現了立法者希望透過對政府機關及關鍵基礎設施(能源、通訊傳播、交通、高科技園區、醫療、金融、水資源)等,因業務特性而有蒐集、處理或利用大量資料之組織,強化其對於資通安全維護的責任,如:情資分享機制、資通委外監督、資安等級分類、事件通報應變、缺失矯正改善等內容,但目前仍應持續關注相關配套子法的訂定,是否可明確供適用組織遵循執行,以及相關目的事業主管機關,是否可確實落實資通安全的監督與管理,都會是將來本法成效的關鍵。

委外管理:

2016 年發生多起個資或資安事故,有一部分係肇因於委外廠商管理不當,因此企業如果將含有重要資料的業務委託予受託廠商,應從事前廠商的遴選,確保其具備個資與資安保護的能力,進而透過合約的簽署,明訂雙方執行業務之權利義務,並透過定時的監督、查核或報告,促使受託機關忠實執行業務,以降低個資及資安風險。
惟要達到個資或資安的安全保護,不僅是委託廠商的責任,受託廠商本身亦應有積極配合的態度,甚或主動積極展現企業資料保護安全能量,以完善隱私保護與管理。

事故應變:

人在江湖上,且能不捱刀?在 2016 年亦有多家企業發生個資外洩事故,而該如何執行事故應變措施則考驗了企業的準備。組織發生個資或資安事故在所難免,重要的是該如何快速有效地執行事故應變機制,且目前企業為了因應或處理事故應變的成本也逐年上升,因此企業可由制定事故應變計畫,定期進行事故演練,並且於演練或事故發生後檢討應變機制,以優化事故應變機制,及降低因資料外洩所耗損之成本。

安全維護計畫& 管理制度:

為因應個資法第 27 條第 2 項規範要求,各目的事業主管機關多已針對轄下主管事業,制定個人資料檔案安全維護計畫或業務終止後個人資料處理辦法,作為事業訂定內部安全維護計畫及管理制度之參考依據,並同時加強行政檢查的作為。
而企業為有效因應法規規範及內部控制要求,通常會導入個資或資安管理制度,如 TPIPAS、ISO27001 等,並通過公正客觀的驗證制度,證明其確實落實制度相關規範及要求,以及符合國內法規要求。
因此,在法規加強要求以及社會風氣對於隱私保護的注重之下,企業如何一方面執行法遵,另一方面如何加強內容以及提升企業形象,亦為重要的課題之一。

個人隱私保護意識:

儘管法規定得再嚴謹,企業對於消費者個資的保護再周密,隱私權的保護,仍是需要你、我共同去守護。自己是否在無意之間,就在社群網站上跟不必要的人過度分享自己的生活細節(舉凡到處打卡或是拍照),或是使用的電腦下載了非法的軟體,或是防毒軟體無法發揮正常功能(如未更新、未執行掃毒等),以及不良的網路使用習慣(如點選來源不明的網站、圖片、影片或連結等),這些將自己隱私暴露在高風險情形下的行為,在 2017 年都應該更積極去改善。尤有甚者,我們更應積極去要求企業,完善對隱私權、個資的保護,選擇優質企業,使良幣驅除劣幣,促請臺灣的企業、廠商從上到下皆將個資保護納入營運考量與成本之一,才能將臺灣從詐騙王國脫胎換骨為隱私保護樂園。

蔣哲宇專注於個人資料保護與管理相關 制議題, 並協助推動臺灣個人資料保護與管理制度(TPIPAS)。

  • 延伸閱讀

【比個 YA 也會泄露個資?!】日本研究:從照片就能盜取指紋,以後水水們拍照要更小心噢
【柯文哲揪 Google 合作被狂罵】用大神「害」學生個資遭竊?罵的人快把 Gmail 帳戶關起來啊!
【非法正義】駭客組織「匿名者」:輔大不道歉,就公布教職員個資

(本文經合作夥伴資策會科法所授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈最近發生了好多事情企業要負責!負的是什麼責?–簡介企業社會責任近期指標案例與規範〉 首圖來源:bykst , CC Licensed。)

 


混合辦公蔚為風潮,企業 IT 防疫你做了嗎?

同事們不斷回報 Wi-Fi 網路連線、資訊存取等問題嗎? 立即斬斷這些疑難雜症,全公司的連線體驗一次超進化,還可獲得 2021 雲端網管黃金白皮書 >> 進入測驗

點關鍵字看更多相關文章: