委託外包才是個資外洩的最大原因!請各位電商、創業者千萬注意保密防諜啊

【我們為什麼挑選這篇文章】網際網路的普及固然方便,卻也造成個人資料的曝光問題。層出不窮的個資遭竊事件,小如詐騙電話,大如盜用帳戶,在在顯示我們對個人資料保護的疏忽。我們該如何與政府和業者合作,打造堅不可摧的個資保護網呢?(責任編輯:杜維)

文/資策會科法所法律研究員 蔣哲宇

2017 年 6 月 20 日,媒體驚報美國共和黨陣營的資料承包商讓約 1 億 9800 萬美國人的個資曝光,幾乎涵蓋所有合格登記的美國選民;而同年 12 月 8 日,監察院針對台北市政府提案糾正,報告中指出北市府「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」資安事件,係未能完善監督委外廠商所致等內容。

此二則新聞在在顯示出就連政府機關皆未能善盡對委外廠商個人資料保護與管理之責,罔論民間企業該如何才能做好,這個資保護最軟的一塊。

我國個人資料保護法的要求:

依我國個人資料保護法第 4 條規定,受委託執行蒐集、處理或利用個人資料的法人、團體或自然人,於本法適用範圍內,視同委託機關,而個資法施行細則第 8 條則明訂了委託之公務或非公務機關,應善盡對受託者之監督義務。

由此可看出,個資法明確的要求委託機關,從以往只重結果,不問過程的管理方式,轉變為要求應對受託機關於執行委託業務時的過程,一併納入監督管理的範圍。但是,代誌真的有如憨人想的這麼簡單嗎?就讓我們繼續看下去⋯⋯

委外監督管理實際碰到的困境:

一、      Bargain power 的落差:

商場如戰場,在戰場上,我的兵力比較強,我講話就是比較大聲,也可以駕飛機繞你國家一圈,你連吭都不敢吭一聲。同樣的在商場上,很多委託機關,往往就因為經濟實力未必能同委外廠商雄厚,在執行監督管理時屢屢碰壁,甚至被嗆聲威脅請其另覓合作業者的亦不在少數,只因委外廠商「不缺你這張單」,也因此產生了委託機關心有餘而力不足的情形。

二、      實際落實監督管理的不易:

《尚書‧說命》:「非知之艱,行之惟艱」中所言之「知易行難」,於委外監督管理時亦有相同情形,儘管施行細則第 8 條中洋洋灑灑寫下委託機關應對受託機關進行至少六項主要監督事項,並應將監督結果紀錄之,但具體落實的方式為何,除了資源較豐之大型企業可將內部人員派訓,甚至是敦聘管理顧問,以有效建置委外監督管理程序之外,針對佔我國 97% 強的中小企業而言,究竟該怎麼做、如何做?都是一個未解之難題。

三、      各行業間因主管機關不同導致個資保護落實程度不一:

假設今天有一家電商業者,在營運公司的過程中,最常涉及個資委外情形有二,一者可能會將網站、APP 等服務,委由資服業者建置、管理,二者則於商品出貨寄送時,會將寄送工作委由宅配業者執行。

於此,電商業者與資服業者之主管機關同為經濟部,經濟部針對電商業者訂定「網際網路零售業及網際網路零售平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」,而對資服業者訂定「製造業及技術服務業個人資料檔案安全維護計畫」。

宅配業者則屬汽車貨運業,主管機關乃為交通部,惟自 2015 年 2 月 10 日行政院「消費者個資外洩事件處理機制」研商會議中,決議各中央目的事業主管機關應針對轄下所有重點事業,依個資法第 27 條第 3 項訂定相關辦法迄今,已 2 年有餘,亦不見交通部對此大量處理消費者個人資料之業別規劃管制,並提供必要之規範辦法以茲遵循,也因此會發生儘管電商業者想要積極落實個資保護與管理,但實際上與其執行業務密不可分之宅配業者,卻無法被有效監督管理,或是不知該如何落實個資保護管理作為的情形。

讓委外監督管理硬起來的方法:

一、      培養消費者、委託及受託機關對於委外監督管理之認知:

摒棄過往以價格為服務選擇考量之首要因素,納入個資保護管理能力之評估,消費者應主動積極選擇能妥善保護自己個人資料的廠商進行消費,進而帶動廠商體悟「個資保護等於商譽,商譽等於商機,故個資保護等於商機」的想法,再進而加強對受託機關的監督管理作為,而受託機關如亦能有此體認,將自身個資保護能力作為拓展業務之賣點,如此想必能積極帶動整體個資保護風潮。

二、      主管機關訂立配套子法,並提供必要資源協助:

雖近期針對我國國內個資保護專責機構設置之討論此起彼落,但各目的事業主管機關善盡監督管理之任務,亦屬責無旁貸,故各主管機關應整體評估具備個資保護高風險之轄下事業,明訂個資保護安全維護計畫及業務終止後處理辦法,以明確供其遵循。於此同時,為使事業得有明確參考之資料,主管機關亦應針對業者之特性,擬訂具體之作業準則、法遵文件等範本,供其參考遵循,以期如實完成之事業得有相類似之個資保護水平。

三、      建置管理制度網絡,形成整體個資保護規模:

透過主管機關規範制定及資源之提供,委託及受託機關間,亦可透過企業自律、契約規定等要求,共同組成個資保護網,如國內兩大便利商店龍頭,皆有與其倉儲物流或資訊服務業者共同通過個資保護與管理驗證制度,以完善落實整體個資保護責任。

個人資料保護法自 2012 年施行以來,雖然就政府及企業的個資保護與管理,仍有許多進步空間,但善盡個資保護之義務,也不能將責任完全加諸於主管機關。反之, 應透過消費者、業者以及主管機關三方之共同努力 ,一同將個資保護與管理從單點連成線,再從線段串連成面,而 成為個資保護與管理牢不可破之保護網,(個資)保密防諜,人人有責

(本文經合作夥伴 資策會科法所 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈別讓委外廠商成為您個資保護最軟的一塊〉 首圖來源:Pixabay, CC Licensed 。)

延伸閱讀

推薦一個好用的瀏覽器插件,讓 Google、Facebook 不再無償竊取你的個資
北市府資安又出包!替代役製作的網頁被攻破,世大運 1.8 萬志工個資恐外洩
【資安危機】全球 600 萬筆個資洩漏光光!電信巨頭 Verizon 這回玩笑開大了


惡意軟體成為國際未來十年最大威脅,企業面臨前所未有的營運風險

2018 資安大趨勢,您的公司建好穩固的資安長城了嗎?
做檢測就抽 13000 元 Samsonite 20 吋登機箱!

馬上做檢測

點關鍵字看更多相關文章: