個資法重點

/ 10 5 月, 2018/ Product-Security

個資法風暴來襲

新版個人資料保護法已於2010/4三讀通過，未來全臺灣123萬家企業、2,300萬民眾都要遵守新法的規範。法務部2011/10在官方網站公布個資法施行細則草案，行政院宣布新版個資法正式於10月1日施行，除了規範特種個資的第6條，和已間接蒐集個資需1年內告知的第54條，這兩條暫緩實施以外，其餘條文如期實施。
一旦企業違法使用個資，顧客還能提出團體訴訟來求償，最高求償金額高達2億元、五年以下的有期徒刑。

個資法重點

• 完全打破行業限制，進而將規範主題擴及到所有法人、公私機關及自然人。同時在保護客體上，也不再限於電腦處理的個資，只要是任何內含個資的實體書面紙本及傳真全都納入保護。
• 個資異動後，應告知提供過個資的對象。
• 發生個資外洩情事後，應告知當事人。告知形式不拘，有紀錄可供事後舉證即可。
• 企業必須證明自己確實符合法規要求，當企業進行各項遵循個資法的行動時，不論是各種告知義務，爭取當事人同意或回應個人請求等行為，都必須記錄，做為未來事後舉證之用。

影響及因應

網站資訊安全防護不夠嚴謹

目前國內網站遭駭客入侵傷害的嚴重程度，以駭客直接進入網站後台盜取會員資料庫損害程度最大。而且網站遭駭客入侵時，網站並不會有明顯「症狀」，管理者亦多無法察覺。

國內電子商務網站雖然發展成熟，受限於資安維護需要耗費龐大經費，大多數的網站資訊安全防護常不夠嚴謹，就連政府公部門網站被駭客攻破也時有所聞。

對企業的衝擊

• 臺灣個資法沒有最低資料筆數的限制，不像日本個資法只能管轄5千筆以上的資料。
• 未來法案實施後，臺灣企業只要擁有1筆以上的顧客資料，企業就必須符合個資法的規範。
• 而且也不只是儲存在企業伺服器中的數位資料需要守法，連書寫在任何紙本文件上的個人資料，不論形式或載體，企業所擁有的任何1筆個資都必須遵循個資法的規範。
• 個資法要求企業必須舉證說明自己沒有過失或故意違反法律。這可以讓企業更加重視隱私權和個人資料的保護。

因應之道

英國BSI在2009年6月推出的英國個人資料保護標準BS 10012，落實完整的P（規畫）、D（執行）、C（稽核）和A（改善）的循環流程，定期檢視個資風險