新版《個人資料保護法》112年5月公布施行 對企業違法行為可直接開罰最高達1500萬
《個人資料保護法》(以下稱個資法)自99年公布及104年俢正至今已行之多年,112年5月16日立法院三讀通過新版個資法(簡稱個資法3.0),112年5月31日公布並施行,此版行政處罰力道之重,將其稱為個資法3.0威力加強版一點都不為過。近期社會關切之重大矚目個人資料外洩案件,例如華航、格上租車以及iRent等公司發生個資外洩事件,為回應各界對企業違反安全維護義務罰責過低的聲浪,且對企業採先命改正後處罰的消極規範,無法責成企業強化個人資料安全維護作為,促使企業重視且加強投入人力、技術及成本實施各類防護措施,落實保護持有個人資料之責任。本次修法改變最主要的影響是行政機關無需等企業完成改正,即可視企業違法情節輕重直接開罰最高達1500萬,將違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命改正,並提高罰鍰上限,處2萬元以上200萬元以下罰鍰;情節重大者,處15萬元以上1,500萬元以下罰鍰。屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰。
完善個資檔案安全維護計畫與安全措施 形塑企業個資保護內部控制三道防線
任何持有個人資料的企業對個資法3.0都不應等閒視之,尤其是營運活動涉及大量蒐集、處理、利用個人資料的企業,更應加強檢視自身「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」訂定的完整性,以及落實執行情況,確保保有個人資料檔案的企業,為達成個人資料保護目的,防止個人資料被竊取、竄改、毀損、滅失或洩漏,已依企業自身規模、持有個人資料數量、種類(如:病歷、醫療、基因、性生活、健康檢查及犯罪前科之特種個人資料)等不同情況,依比例原則適當採取技術上及組織上相關安全措施,包括(一)配置管理之人員及相當資源;(二)界定個人資料之範圍;(三)個人資料之風險評估及管理機制;(四)事故之預防、通報及應變機制;(五)個人資料蒐集、處理及利用之內部管理程序;(六)資料安全管理及人員管理;(七)認知宣導及教育訓練;(八)設備安全管理;(九)資料安全稽核機制;(十)使用紀錄、軌跡資料及證據保存;(十一)個人資料安全維護之整體持續改善。常言道「他山之石,可以攻錯」,金融服務業因持有大量特種個資,且長久以來為金管會高度監理行業,在個資保護機制在監理要求下,具備更完整的安全措施,除上述安全措施外,另要求針對電子商務系統建立防止外部外網入侵對策、監控異常使用或非法行為,以及相關因應、演練、檢討、改善機制,並加強管理人員權責和權限,且定期自我評估個資安全維護執行情況,形塑企業有效保護個資的內部控制三道防線(包括內控自行評估制度、法令遵循與風險管理制度、內部稽核制度),一般企業除了遵循個資法及個資法施行細則規範內容外,亦可檢視自身所處風險環境參考學習採納。
建立個資外洩風險管理制度 推動管理循環六大要點
個資外洩風險是因內部流程失效、資訊系統權限設罝不當及人員錯誤等異常事件,造成持有個人資料外洩的風險,其中企業首要面對的個資外洩影響就是商譽受損與高額行政處罰。對此衝擊,企業可以建立個資外洩風險管理制度,依據個資外洩風險管理循環(詳下圖),推動六大要點來降低個資外洩風險發生可能性,分別是(一)訂定個資外洩風險管理政策、組織及職責;(二)進行個資外洩風險辨識,對核心業務及其重要性、涉及個資系統盤點;(三)實施個資外洩風險衡量,以質化或量化評估方式對所辨識的外洩風險執行(機密性、完整性及可用性)衝擊分析;(四)有效回應個資外洩風險,依衡量的衝擊程度來決定因應方式;(五)加強個資外洩風險管控並訂定控制措施,對涉及個資的系統發展及維護安全,以及系統或服務委外管理訂定控制措施;(六)建立個資風險指標,針對個資外洩風險(質化或量化)指標加強管理,例如:涉及個資的資料庫異常存取時間或次數、員工個人短時間內異常存取頻率過高,或非個資存取授權者下載個資;設定超出風險指標的警示值時,則視衝擊嚴重程度情況設置為中度風險或高度風險,監控個資外洩風險變化,並且視風險重大性給與不同的因應措施及處理流程,對個資外洩事件通報應變及情資評估因應、決定行動。另外,企業亦可推動定期實施個資外洩風險自我評估,針對個資保護目標及風險,評估內部流程、資訊系統及人員引發潛在異常事件,以致個資外洩的可能性與影響程度,再進一步評估控制設計與管理程序之有效性,最後依據最終的風險評估結果,訂定個資保護行動計畫。
結論:落實個資外洩風險管理制度、建構個資保護內部控制三道模型架構
企業應遵循個資法,避免人格權受侵害,促進持有個人資料之合理利用,確保合法蒐集、處理及利用個人資料,可以考量自身個資外洩風險情況借鏡金融服務業做法,完善個資檔案安全維護計畫、採取適當安全措施,依據個資外洩風險管理循環六大要點,建立個資外洩風險管理制度並落實執行。同時,考量自身資源,學習金融服務業對個資保護的管理機制,參照建構內部控制三道模型架構,包括內控自行評估制度(第一道角色)、法令遵循與風險管理制度(第二道角色)、內部稽核制度(第三道角色),定位各個角色的分工與交互整合運用,第一道角色為各單位就其組織功能及業務範圍,負責辨識及管理風險,承擔各自日常事務所產生的風險,針對該風險特性設計並執行有效的內部控制程序以涵蓋所有相關之營運活動。第二道角色,其就各主要風險類別負責保險業整體風險管理政策之訂定、監督整體風險承擔能力及承受風險現況、並向董事會或高階管理階層報告風險控管情形,並依其特性協助及監督第一道角色辨識及管理風險。第三道角色,以獨立超然之精神,執行稽核業務,協助董事會及高階管理階層查核與評估風險管理及內部控制制度是否有效運作,包含評估第一道及第二道角色進行風險監控之有效性,並適時提供改進建議,以合理確保內部控制制度得以持續有效實施,以及作為檢討修正內部控制制度之依據。企業在建立內部控制三道模型架構時,應考量各自身營運活動的性質、大小、複雜程度及風險狀況進行調整,確保三道角色之有效性,並且讓三者之間除各司其職外,彼此之間亦相互溝通、分享資訊、層層監督,形塑循環不息的生態系統及公司治理優質文化,最終達成降低個資外洩風險,有效保護個人資料安全的管理目標。
*作者為國立中正大學企業管理學系博士生
