[產業經驗] 防個資外洩 企業自保之道

新版「個人資料保護法」(原名「電腦處理個人資料保護法」),於民國99年4月27日正式於立法院三讀通過,新法明定個資蒐集不論直接或間接都要盡到告知的義務,且需取得當事人書面同意。

新版「個人資料保護法」(原名「電腦處理個人資料保護法」),於民國99年4月27日正式於立法院三讀通過,新法明定個資蒐集不論直接或間接都要盡到告知的義務,且需取得當事人書面同意。在網際網路應用中,使用頻率最高的即非Web及Email領域莫屬了,未來在面對新法執行後,亦是企業首需注意的重要課題之二。

對於新版個資法使用定出詳細規範,與舊法標準相比更為嚴格。此規範將對許多企業產生重大影響的隱私資料保護法案,由於詳盡規範個人資料蒐集與處理程序,不但將加重企業的相關控管責任,從今日起,企業更需嚴密注意外部公開資訊是否有觸法嫌疑,且必須小心內部員工對外流通的資訊,是否有不慎將個人資料公開的可能。否則輕者受罰,重者將可能面對受害者的團體賠償訴訟,面臨最高求償上限2億元的風險;同時,企業也肩負使用個人資料時的通知義務,若未盡完善告知或者使用過程上有瑕疵,也會面臨單一案件2萬至50萬的行政罰鍰風險。

新法三讀通過,行政院施行在即,一般企業也開始惶恐,尤其是面對網際網路訊息的控管,更是一時千頭萬緒,不知從何下手。由於網際網路的訊息流通快速,電子訊息傳播代價極低,再加上現今公共搜尋引擎技術的進步,許多員工不慎外洩的個資不但傳播速度超乎管理者想像,更容易在公眾搜尋引擎上留下紀錄,導致難以預料及掌控的後果,將嚴重影響企業商譽。

在個資法正式實施後,企業日常都會使用的Web及Email,將會面臨到什麼風險呢?下述幾個使用情境,值得企業審慎思考。

(1) 某購物網將抽獎中獎名單公佈在網站上,不慎流露得獎者的身份證字號。
(2) 某公家機關自行建置網站搜尋引擎,沒想到在搜尋關鍵字內輸入「健保卡號」,便得到了許多姓名和健保卡號的對應清單網頁。
(3) 某銀行理專將客戶的電子開戶資料(帳戶號碼與姓名)寄給客戶的時候,未得客戶同意就順便轉寄給同集團的投信公司,導致客戶的個資外洩。
(4) 某會計師事務所會計師,被人指控使用Email流洩客戶的信用卡號與相關交易資訊,但公司卻無法提供檢調單位相關的電子郵件歸檔證據。
(5) 某竹科製造業主管,將擁有員工編號和薪資的個人資料使用Email轉寄給上層主管,事前未告知當事人,事後稽核單位也無主動機制追查此外洩事件。

以上幾個實境聽起來怵目驚心,但卻是已經發生在真實世界的確實案例,同時這些情形也都屬於觸犯個資法的規範範圍,將使企業受到行政罰鍰與相關控訴的風險。為了預防這類問題,建議從最基本的檢視開始,從自身的網站和企業內部收發的Email開始控管個資的外洩問題,以下提供一些必備的方法,讓管理者可以使用輕鬆、簡單的方式,制定並防範個資外洩的問題。

透過掃描引擎協助

在Web方面,管理者可以選購具備掃描個人隱私資訊(例如身份證字號、信用卡號、護照號碼、信用卡號、手機號碼等等)樣式的掃描引擎,定期掃描放置在公開網站上數以萬計、甚至百萬計的網頁、文件,一旦偵測到符合特定樣式的個人隱私資料,便提出警示,讓管理者方便檢視、確認後移除。通常企業的網站內容多由各子單位自行維護上傳,因此若不具備這樣的機制,而改用每次上傳就必須慎重檢查的方法,不但影響網站更新的效率,也無法即時有效的以「統一中控」的方式,攔阻隱含個人資訊內容的網頁和文件,也可以避免之前常耳聞的線上購物或公家機關網站不慎流洩個資的類似事件。

此外,更需要注意的是許多網站管理者購置了企業內的搜尋引擎方案,作為本身網站的內容搜尋引擎,如果你的網站不慎放置了個人隱私資訊,該搜尋引擎方案應也必須具備「暫時移除該筆搜尋資訊」的功能,避免有心人士直接藉由網站內建的搜尋引擎,使用「Search Hack」的方式取得該網站上的個人資料。同理,若你已經發現網站上有不當的個人隱私資料,不但需要立即移除,也應該立即到各大公眾搜尋引擎嘗試搜尋,若已被公眾搜尋引擎快取,應立即提出移除申請,並暫時修改網站本身的「公眾搜尋引擎存取限制檔」(robots.txt),暫時針對出問題或者有個人隱私資訊露出風險的網頁或文件目錄做「拒絕出現在公眾搜尋引擎」的設定,避免相關災情繼續蔓延。

(作/Openfind產品經理 廖享進)

(…未完,更多精采內容請參閱網路資訊雜誌224期7月號)

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416