法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。

法律資訊

個資外洩的預防與處理

黃于珊律師
《原文刊載於網路資訊雜誌,2012年8月

 

XX公司的網站伺服器遭駭客入侵,數百萬筆的客戶資料因而外洩」、「XX公司因筆記型電腦遺失,造成數千名員工的個資可能外洩」、「民眾自市場上購買的中古硬碟中竟存放大量個資」、「XX公司經理,離職後帶出數萬筆客戶資料,並進行販售」,這些個資外洩的新聞在我們日常生活中時有所聞,而且企業一旦爆發出個資外洩事件後,都會使其聲譽重挫、客戶喪失信心,因此如何避免個資外洩,以及一旦發生個資外洩後如何進行危機處理,都是各企業不得不學習的重要課題。

 

個資外洩的種類及預防

 

個資外洩事件可依其洩漏途徑的不同,區分為「駭客入侵」、「設備送修、遺失或被竊」、「資料未銷毀」及「員工外洩」等4種,茲說明如下:

1、  駭客入侵

近年來駭客入侵網站業者伺服器,以竊取網站使用者個資的事件,在世界各國都層出不窮,從2011年日本Sony公司的PlayStation Network遭駭客入侵竊走7700萬筆PS3Qriocity音樂隨選服務使用者的個資,及南韓線上業者SK Communications維運的Nate.com入口網站、CyWorld部落格網站遭駭客入侵造成約3500萬會員個資外洩,到20123月美國線上交易付款服務公司Global Payments遭駭客入侵恐致上千萬筆Visa、萬事達、美國運通與Discover持卡人的個資外洩甚至遭人盜刷,以及最近的駭客利用Yahoo公司電腦系統漏洞竊得逾40萬組用戶帳號、密碼等個資並在網路上公布等事件,都在在顯示出此問題的嚴種性。因此,各大公司無不採取各種方法以避免客戶個資因駭客入侵而外洩,其中,除可利用防火牆(Firewall)、網路偵防系統(Intrusion Detection and Prevention, IDP)等工具加強網路安全的防護外,還可利用安全性檢測軟體進行作業系統及Web應用程式的安全性檢測,以避免駭客的入侵,此外,還應利用SSL進行資料加密,以避免駭客入侵後取得該資料。

2、  設備送修、遺失或被竊

隨著筆記型電腦、平板電腦、智慧手機及隨身儲存裝置的普及,因電腦、手機等含有儲存裝置的3C產品或行動硬碟、隨身碟等隨身儲存裝置送修、遺失或被竊而發生個資外洩的事件,也越來越常見。例如,香港藝人陳冠希因送修筆記型電腦致其性愛照片被外洩的事件、美國名媛Paris Hilton因手機遺失造成其眾多友人(包含好萊塢名人)電話被曝光的事件、英國政府將記錄全國半數人民個資的光碟片寄丟而致相關人民個資可能被外洩的事件,以及波音公司員工被竊的筆記型電腦中含有382千名現職及退休員工的機密資料而致該等資料可能被外洩的事件,都是因為電腦、手機或隨身儲存裝置等設備送修、遺失或被竊,而造成個資的外洩。欲避免個資因此外洩,除應在送修前將重要資料備分並刪除,或將重要資料壓縮加密,以避免他人知悉該資料之內容外,請維修廠商簽訂切結書切結保證不會盜用個資,否則除相關法律責任外並應負擔高額的賠償金,亦可達到嚇阻廠商避免其將該資料外洩的目的。此外,隨時將重要資料加密,也可避免這些重要資料因電腦、手機或隨身儲存裝置等設備的遺失或被竊而外洩。

3、  資料未銷毀

重要個資因未完全銷毀,致可能發生外洩的事件在台灣不勝枚舉,從永和崇愛中醫診所將包含患者姓名、生日、就診疾病的處方箋和門診掛號費收據隨處丟棄致該患者個資可能外洩的事件,到萬芳醫院將記載患者姓名、年齡、身高、體重、診斷及處置的批價單誤當「回收紙」提供他人作為便條紙使用致相關個資可能外洩的事件,以及民眾發現其自市場上所購買的中古硬碟,不但未格式化,還存放某銀行與客戶往來的業務資料,致相關資料可能外洩的事件,在在都顯示出大家對於重要資料銷毀程序的輕忽,以及因此可能產生的個資外洩風險。事實上,對於記載重要個資的紙本資料,應先自行銷毀後再委託清潔公司進行清運,以免該資料因清潔公司的處理不當而外洩,至於紙本資料的銷毀方式除可用火燒或水淹者外,一般常見的作法是利用碎紙機來進行銷毀,但應注意的是經「長條式碎紙機」所碎斷的資料,可會出現文字無法完全碎去的問題,因此對於重要資料最好還是要使用「碎斷式碎紙機」處理較為安全。而關於硬碟的銷毀,除可使用消磁機進行消磁或進行低階格式化之外,還可以利用泥水淹漬、火燒等物理方式來銷毀硬碟資料。

4、  員工外洩

員工因故意或過失造成個資外洩的事件也時有所聞,包含信義房屋承辦人員不小心將求職者履歷資料夾帶在E-mail寄出,洩漏約5000名求職者包含姓名、性別、出生年月日、聯絡電話等個人資料的事件,或是東森休閒育樂公司離職經理,涉嫌從公司帶出7萬多筆客戶資料,並利用電話和網路尋找相關買家以販售該等個資的事件。而疑似員工竊取客戶個資進行販賣的傳聞更是不勝枚舉,例如就曾有賣家在網路上,以一筆0.5元的價格,公開販售東森購物8000筆客戶資料(包含客戶姓名、電話、信用卡號、生日、身分證字號等個資),並強調該資料是從東森購物內部流出,而疑似為東森購物員工竊取客戶個資並進行販賣的事件。可知,如何避免員工因故意或過失而洩漏個資,亦是企業重要的課題。而欲避免公司員工因此外洩個資,除應與其簽訂保密協定以約定責任歸屬外,還應加強員工的教育訓練,使其瞭解個資法的規範與責任,同時亦應制訂完整的作業流程,避免其可任意的將相關個資攜出。此外,對於即將離職的員工,公司亦應請律師或法務部門的人員對其進行離職約談,告誡其竊取及外洩個資的法律責任,使其瞭解該等行為的嚴重性,以避免離職員工攜出客戶個資甚至進行販賣。

 

個資外洩後的處理

若企業不慎發生個資外洩的事件,為避免當事人損害的擴大,個人資料保護法第12條規定,該企業因違反規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。至於所謂「適當方式通知」,由個人資料保護法施行細則草案之規定可知,通知的方式應兼顧個人資料權益的保護與通知效率,以保障個人權益,而且該通知的方式可以書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉的方式為之,此外,當該通知會耗費過鉅時,得斟酌技術的可行性及當事人隱私的保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。

 

而國外有企業為避免個資外洩事件對其商譽的影響,除於採取類似我國個人資料保護法第12條之規定,於外洩事件發生後立即通知所有受影響的個人外,甚至還提供兩年免費信用偵測服務,包括詐騙爭議,或回復信用檔案,以及身份竊盜保險等,以挽回客戶對該公司的信心,可見外洩事件後的危機處理亦是各公司於個人資料保護法施行後需要面對的課題。

 

 

在個資外洩事件層出不窮的今天,企業除應妥善擬妥相關預防措施,以避免個資外洩事件的發生外,也應積極規劃個資外洩後的處理之道,才可避免個人資料保護法的違反,以及個資外洩事件對該公司聲譽所可能產生的影響。