個資法重點
/ 10 5 月, 2018/ Product-Security
個資法風暴來襲
新版個人資料保護法已於2010/4三讀通過,未來全臺灣123萬家企業、2,300萬民眾都要遵守新法的規範。法務部2011/10在官方網站公布個資法施行細則草案,行政院宣布新版個資法正式於10月1日施行,除了規範特種個資的第6條,和已間接蒐集個資需1年內告知的第54條,這兩條暫緩實施以外,其餘條文如期實施。
一旦企業違法使用個資,顧客還能提出團體訴訟來求償,最高求償金額高達2億元、五年以下的有期徒刑。
個資法重點
- 完全打破行業限制,進而將規範主題擴及到所有法人、公私機關及自然人。同時在保護客體上,也不再限於電腦處理的個資,只要是任何內含個資的實體書面紙本及傳真全都納入保護。
- 個資異動後,應告知提供過個資的對象。
- 發生個資外洩情事後,應告知當事人。告知形式不拘,有紀錄可供事後舉證即可。
- 企業必須證明自己確實符合法規要求,當企業進行各項遵循個資法的行動時,不論是各種告知義務,爭取當事人同意或回應個人請求等行為,都必須記錄,做為未來事後舉證之用。
影響及因應
網站資訊安全防護不夠嚴謹
目前國內網站遭駭客入侵傷害的嚴重程度,以駭客直接進入網站後台盜取會員資料庫損害程度最大。而且網站遭駭客入侵時,網站並不會有明顯「症狀」,管理者亦多無法察覺。
國內電子商務網站雖然發展成熟,受限於資安維護需要耗費龐大經費,大多數的網站資訊安全防護常不夠嚴謹,就連政府公部門網站被駭客攻破也時有所聞。
對企業的衝擊
- 臺灣個資法沒有最低資料筆數的限制,不像日本個資法只能管轄5千筆以上的資料。
- 未來法案實施後,臺灣企業只要擁有1筆以上的顧客資料,企業就必須符合個資法的規範。
- 而且也不只是儲存在企業伺服器中的數位資料需要守法,連書寫在任何紙本文件上的個人資料,不論形式或載體,企業所擁有的任何1筆個資都必須遵循個資法的規範。
- 個資法要求企業必須舉證說明自己沒有過失或故意違反法律。這可以讓企業更加重視隱私權和個人資料的保護。
因應之道
英國BSI在2009年6月推出的英國個人資料保護標準BS 10012,落實完整的P(規畫)、D(執行)、C(稽核)和A(改善)的循環流程,定期檢視個資風險