從法律看科技:「個資」外洩與「資安」竟然沒關係?

個資、資安分不清?且從法令遵循談起…

【我們為什麼挑選這篇文章】我們經常可以看到「個資」與「資安」,但大家真的有搞懂,這兩者的差別是什麼嗎?

本文帶大家從法律上認識兩者的差異,以及這兩者在法律使用上的差別,未來可別在兩者傻傻分不清囉!(責任編輯:林厚勳)

文 / 資策會科法所專案經理 陳宏志

個資 vs. 資安,到底有何差別

關於資訊安全之內涵,多數係以保護企業或組織之資訊資產為主,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料/資訊/資產的機密性、完整性、可用性,及維持組織之營運或將風險降低。而個人資料,依據我國個人資料保護法(以下簡稱個資法)第 2 條的定義,指自然人之姓名、出生年月日、國民身分證統一編號…,及其他得以直接或間接方式識別該個人之資料。

然而,個人資料或許可能作為企業或組織內部之資訊資產,但兩者在保護之法益及法令遵循的需求皆有所不同。

個資法要權衡的是避免人格權受侵害,以及促進資料的合理利用,與資訊安全透過軟、硬體之技術手段保護資產的角度不同,個資法更加強調法令遵循之管理與保護。

因此,在保障當事人方面,個資法設計有對個資蒐集主體的要求,如蒐集前之告知,蒐集、處理或利用相關要件,當事人權利之行使,事故時之通知等;而合理運用部分,企業或組織可於特定目的範圍內及符合法定情形下進行蒐集、處理或利用,都是必須遵守的規定。

個資法遵與資訊安全一樣重要

古諺有云:輔車相依、唇亡齒寒,在現今企業或組織多透過技術手段保護個資或資訊資產之趨勢下,對營運或業務面來說,倘個資或資安保護不佳,另一項之管理也會有極高風險,故兩者是一樣重要的。

但個資、資安因適用法規不同,在法律責任上將有所差異。舉例而言,若違反個資法,不論公務、非公務機關或行為人,可能會負有行政、刑事或民事責任;而資安方面可能會涉及金融法規或內稽內控等規定。

以個資法為例,非公務機關若違反該法要求之個資檔案安全維護相關規定,造成個資外洩,除當事人可請求損害賠償,或有無意圖為自己或第三人不法之利益等,涉民事(如於不易或不能證明實際損害額時,可以每人每一事件新臺幣(以下同)500 元以上 2 萬元以下計算)、刑事(如損害他人之利益,可處 5 年以下有期徒刑,得併科 100 萬元以下罰金)之責任外,中央目的事業主管機關或直轄市、縣(市)政府尚可要求非公務機關限期改正,屆期未改正者,按次可處 2 萬元以上 20 萬元以下罰鍰。更嚴重之情節,如非公務機關違反個資蒐集、處理或利用之規定,主管機關更可處 5 萬元以上 50 萬元以下罰鍰。

此外,大家別忘記,個資法還有團體訴訟的規定,對於同一事實造成多數當事人權利受侵害之事件,在損害賠償部分,合計最高總額為 2 億元。

而在資訊安全部分,行政院資通安全處(2016 年 8 月 1 日成立)提出之資通安全管理法尚未完成立法,在暫無專法的階段,國內企業或組織違反資安規定,多依其他相關法令論處,如前述一銀 ATM 遭詐領案,金管會係以該行違反銀行法第 45 條之 1 第 1 項規定(主要係要求銀行應建立內部控制及稽核制度,但細部規定由金管會另定之),依同法第 129 條第 7 款規定,核處 1,000 萬元罰鍰。

依目前金管會之規範體系,針對不同行業,分別訂有其內部控制及稽核制度實施辦法,如金融控股公司及銀行業(包含銀行機構、信用合作社、票券商及信託業)內部控制及稽核制度實施辦法、保險業內部控制及稽核制度實施辦法等。

以銀行業為例,該實施辦法第 38 條第  5 款規定,銀行業之風險控管機制應包含應對業務或交易、資訊交互運用等建立資訊安全防護機制及緊急應變計畫。如前所述,若有違反者依銀行法第 129 條第 7  款規定,可處  200 萬元以上  1,000 萬元以下罰鍰。

法令遵循務必注意,仍與產業自主管理有所不同

因意識到有關之法律責任,或有企業或組織規劃導入個資、資安管理制度,並預計通過相關標準驗證。依我國標準法第 4 條規定:「國家標準採自願性方式實施。但經各該目的事業主管機關引用全部或部分內容為法規者,從其規定。」。

基此,坊間業者號稱國際標準或國家標準,依法均非為強制性要求,多係產業自主管理之內容;然如相關法令已明文規定,像是個資法或是銀行法等,企業或組織須建立個資或資安之管理制度、內部控制或稽核作業程序、規範或機制,違反者將負一定責任,故法令之遵循不可不慎。

綜合個資法及金融法規觀之,建議企業或組織切莫以為資安等同於個資,且為確實符合我國個資法及相關法令之規範,針對個人資料檔案安全措施或維護計畫之內容,如告知事項,個資盤點及風險評估,事故之預防、通報及應變,或委外監督等具體要求,應建立一定作業程序或機制,並落實內部控制或稽核,甚至規劃取得具公信力之資料隱私保護標章(dp.mark),以恪遵相關法令。

——

(本文經合作夥伴 資策會科技法律研究所 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 個資、資安分不清?且從法令遵循談起 〉,首圖來源:PEXELS,CC Licensed。)

更多個資、更多資安漏洞

【資安危機】全球 600 萬筆個資洩漏光光!電信巨頭 Verizon 這回玩笑開大了
Mac 資安漏洞讓你也能當駭客:帳號輸入 root,連戳 Enter 就能破解密碼!
【這款台灣銀行體系我覺得頗呵】中信資訊員手殘,數十萬筆資料沒了
遠東商銀遭到駭客盜匯 18 億台幣,當銀行都這麼簡單被駭我們還能相信誰?


我們正在找夥伴!

2019 年我們的團隊正在大舉擴張,需要你的加入跟我們一起找出台灣創新原動力! 我們正在徵 《採訪社群編輯》、《助理編輯》,詳細職缺與應徵辦法 請點我

點關鍵字看更多相關文章: