2023-09-06
848
企業制訂的資安計畫中,必須注意法令遵循、組織人力資源規劃及以契約落實全體員工法律責任。資安議題並非侷限在資訊技術,更是企業治理及法令遵循的議題。
過去多年來,企業內部資料庫暴露於網路的問題,國內外有多起案例,學界及主管機關一再提出警告,仍無法防止類似事件發生。過去我國亦曾發生旅遊業上市公司於民國 106 年 5 月間洩漏消費者個資,經消費者文教基金會提起團體訴訟,歷經三年餘的訴訟程序,在 109 年 7 月 7 日於臺灣高等法院民事庭成立調解,以業者與消費者和解並賠償之方式落幕。
112 年第一季,國內就陸續發生了航空公司個人資料庫被駭客入侵的案件,導致包括副總統賴清德、台積電創辦人張忠謀及名模林志玲個人資料可能外洩的案件,後續又有共享汽車及百貨公司消費者個資外洩事件,由於直接涉及廣大消費者個人資料,各界再度對此議題展現高度關注。
近期的案例甚至有駭客公然鼓動被洩漏個資的消費者對企業提起集體訴訟,對企業產生極大壓力。這種近似於恐怖攻擊的手法,對企業的商譽、品牌形象及消費者關係將造成傷害,更可能引來政府主管機關的注意,因此現在企業營運若不注重資安,萬一發生類似案件,損害將愈來愈難估計。
我國關於資訊安全之法令規範,主要以資通安全法(下稱資安法)及個人資料保護法(下稱個資法)為兩大主軸。
民國 107 年 6 月 6 日公布、108 年 7 月 1 日施行之資安法,統整國家資通安全機制,將國家整體資安工作正式法制化。111 年 1 月 19 日總統令公告數位發展部組織法,數位發展部為辦理國家資通安全政策規劃、計畫核議及督導考核,執行國家資通安全防護、演練與稽核業務及通訊傳播基礎設施防護,特設資通安全署,作為資安法之主管機關。
資安法將依法行使公權力之中央、地方機關(構)或公法人(軍事及情報機關除外)及關鍵基礎設施提供者、公營事業及政府捐助之財團法人之特定非公務機關納管,後者包括各級政府獨資或合營者、政府與人民合資經營,且政府資本超過百分之五十者、政府與公營事業或公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。
資通安全署衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級。
在資安法規範下,企業與受資安法規範之公務機關及特定非公務機關傳遞資訊時,亦應遵循資安法對於資通安全之要求。例如在 COVID-19 新冠肺炎流行期間,金融主管機關發函1保險公會,要求保險公司倘因業務需求召開遠端視訊會議,其所使用之資通系統不應使用具資通安全疑慮的產品,例如 ZOOM,應以國內產品及共同供應契約所列品項為優先,保險如有於公務資訊之傳遞,應依據資通安全管理法等相關規定,落實有關資通安全防護措施。
個資法規範所有的公務機關及非公務機關,後者指公務機關以外所有之自然人、法人或其他團體2,通通都是本法所定的「非公務機關」。而且只要涉及個資「蒐集」、「處理」及「利用」行為,均在規範之列。
非公務機關蒐集或處理「一般性個人資料」,必須有「特定目的」,並且必須符合下列情形之一3:
因此,企業蒐集、處理及利用個資,均受個資法嚴格規範。例如保險業者辦理電話行銷業務,均應於電話行銷前告知民眾如何取得電話,及詢問是否願意接受行銷,如消費者表達拒絕接受行銷時,應立即結束通話4。
又如教材業者以贈品利誘學童提供個人資料,應遵守個人資料保護法相關規範,依誠實信用方法為之,應使當事人得以充分瞭解後審慎為之,是業者之告知方式應符合學童之年齡、生活經驗及理解能力,以容易理解、清楚簡單之語言或文字為之,並使該學童得以充分瞭解其個人資料之後續利用5。倘教材業者未完整踐行告知,或其告知對象無法充分瞭解其個人資料之後續利用,則可能違反個資法規定而受裁罰甚至求償。
綜上所述,企業可以參考以下現有法令規範來建構資訊安全法令遵循制度:
個人資料保護法是台灣目前最重要的資訊安全相關法令之一,要求企業遵守一系列個人資料處理的規定,包括明確告知個人資料蒐集的目的、處理的方式、保護措施等。
妨害電腦使用罪是針對電腦相關犯罪行為的法令,要求企業實施資訊安全控制,避免電腦犯罪行為對企業造成損害。
這些規定針對金融業者所涉及的資訊安全問題提出要求,包括資訊安全政策、組織架構、風險評估等。
資通安全法等相關規範是針對政府部門的資訊安全管理相關法令,但其中的許多規定也可以應用於企業的資訊安全管理,例如資訊安全風險評估、事件應變等。
重視法令遵循文化的企業,可以採取下列步驟落實資安法令遵循:
企業應該確定上述提及的法令中,哪些適用於其經營之業務,然後建立相應的政策和程序。這些法令包括國家法律、監管機構的指導方針、行業標準或客戶的合約要求。
企業應該在建立法令遵循的組織架構中,明確資安法令遵循的責任和權限。包括指定負責人負責監督資安法令遵循的計劃、程序和政策的執行,並確定員工的法令遵循責任和相應的培訓。
企業應該制定相應的資安法令遵循政策和程序,以確保資安法令遵循的實施。這些政策和程序包括資安風險評估、監測和控制措施、檢查報告和內部審計、合規性審查和評估,以及內部投訴和檢舉程序等。
企業應該建立監測和評估資安法令遵循機制落實狀況,以確保法令遵循的有效性和及時性。這可以包括內部稽核、監察報告、風險評估和監控等方法。
企業應該建立內部資安培訓計劃,以提高員工對資安法令遵循的認識和重要性,例如定期的培訓課程、模擬演習和實踐。
企業應該定期評估和更新資安法令遵循的政策和程序,以確保其與時俱進。定期評估可以發現缺陷和漏洞,以便及時加以修正。
【註】
1 金融監督管理委員會保險局保局 109 年 4 月 7 日(綜)字第 10904912542 號書函。
2 個人資料保護法第 2 條第 8 款。
3 個人資料保護法第 19 條、第 7 條;施行細則第 9 條、第 13 條、第 14 條、第 17 條、第 26 條、第 27 條、第 28 條。
4 金融監督管理委員會保險局保局 106 年 3 月 2 日(壽)字第 10610900680 號函。
5 國家發展委員會 108 年 3 月 12 日發法字第 1082000384 號函。
作者:陳業鑫
更多陳業鑫律師相關資訊,都在【業鑫法律事務所】
接續閱讀:
午後人資,饗受新知
253 Followers
午後人資,饗受新知
253 Followers
我們使用本身的Cookie和第三方的Cookie進行分析,並根據您的瀏覽習慣和個人資料向您展示與您的偏好相關的廣告。如欲瞭解更多資訊,您可以查閱我們的隱私權政策。