SlideShare a Scribd company logo

3.3電子商務業者如何避開違法的十個步驟及快速導入個資管理表單

Sunny Lin
Sunny Lin

資料來源: 經濟部電子商務資訊安全專業人才培訓計畫

1 of 61
Download to read offline
電子商務資訊安全 專業人才培訓 3.3電子商務業者如何 避開違法的十個步驟及 快速導入個資管理表單
課程內容 • 避開違法的十個步驟 • 個資管理表單導入與介紹 – Workshop 1: 實作蒐集個資管制制度 2
公務機關案例: 教官陳情個資曝光 政府部門判賠 • 新北市一名趙姓退役教官,不滿政府部門少發一 天薪水,上網陳情;沒想到,政府部門竟將這名 教官的個人相關資料,刊登在網站上;陳情人認 為隱私權嚴重遭侵害,請求國賠20萬,地院判決 應賠償 5千元,創下公務機關侵害隱私判賠的罕 見案例。 Ref: TVBS 新聞 http://www.tvbs.com.tw/news/news_list.asp?no=arieslu20110530115351 3
QUESTION : 請問下面狀況要賠多少? 地址: 新東市 251 登輝大道一號 收件人: 黃甲乙 59/04/24 4
信封印生日 某某運動用品遭控洩個資 • 在大台北地區相當著名的「某某運動用品世界」,寄給當月壽星會員 生日賀卡,因信封名條印著會員生日,引起林姓會員不滿,抗議個資 外洩,並向新北市消保官申訴。 1 • 某某運動用品世界,自接獲林先生抗議後,本月起已不在會員名條上 印出生日。 • 林先生投訴指出,去年9月到某某三重店消費滿5000元成為會員,今 年6月接到壽星賀卡,名條上卻印出他的生日。很擔心投在信箱的賀 卡資料遭歹徒盜走,向他父母行騙。 • 林先生說,他四度致電店家,店家應允處理,仍無對策,林經理說 2 3 ,接獲抗議向林先生道歉,也贈送著名品牌的運動禮盒致意,但被退 4 5 回。昨天協商時,他提出以1000元補償4次電話費用、送2000元運動 6 商品,也願意書面允諾日後若因此次生日資料造成林先生損失,公司 願負賠償責任,都不被接受。此事令他有點無奈,但仍須尊重消費者 的意見。 • 周X雄說,由於林先生非常擔心生日資料外洩產生後遺症,卻始終提 不出具體和解條件,已請林先生必要時提民事求償。 5
處理狀況說明 • 民眾抗議 • 立即停止繼續列印生日於名條上 • 允諾處理、贈送著名品牌的運動禮盒致意 (被退) • 協調以 1000元補償4次電話費用、送2000元運動 商品 • 書面允諾日後若因此次生日資料造成林先生損失 ,公司願負賠償責任 • 和解? 民事訴訟? 遭行政裁罰? 6
個資法應辦事項整理 停止 蒐集 處理 利用 利用 刪除 1 2 3 告知 取得同意 處理或利用前告知 (間接蒐集) §8 §9 4 建立管理作業流程 接受當事人行使當事人權利 查詢 閱覽 制給複製本 補充 更正 停止蒐集處理利用 刪除 §10 §11 §11 15+15 日內 §13 30+30 日內 §13 5 §12 §17 一、個人資料檔案名稱。 個資遭竊、洩漏 主動通知 事項公開於電腦網站(公務) 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 6 實施細則將規定 §27 採行適當資料檔案之安全措施(防止竊取、竄改、毀損、滅失、洩漏) 7 8 事業主管機關頒行 個人資料檔案安全維護計畫 業務終止後個人資料處理方法 7
避開違法的十個步驟 8
避開違法的十個步驟 1 個資資產盤點 2 個資行為盤點 3 告知函撰寫 4 出口管制 5 進行新蒐集個資管制制度 6 進行利用前管制制度 7 建立最小蒐集原則 8 進行資訊安全維護 9 進行委外管理 10 善盡管理人責任 • 個資管理表單導入與介紹 • Workshop 1: 實作蒐集個資管制制度 9
電子商務蒐集流程 選擇商品 性別 地址 喜好 加入會員 電話 email 第五十四條 本法修正 施行前非由當事人提供之 個人資料,依第九條規定 送貨資訊 收件人姓名 應於處理或利用前向當事 有時不同於 人為告知者,應自本法修 收件人地址 付款人 非直接蒐集之個資 正施行之日起一年內完成 發票資訊 告知,逾期未告知而處理 或利用者,以違反第九條 請款過程 信用卡資訊 規定論處。 分期資訊 信用卡紅利 10
電子商務蒐集流程 選擇商品 性別 地址 喜好 加入會員 電話 email 通常地告知時機? 送貨資訊 收件人姓名 有時不同於 這些有告知嗎? 收件人地址 付款人 發票資訊 非直接蒐集之個資 請款過程 信用卡資訊 分期資訊 這些有告知完整嗎? 信用卡紅利 11
電子商務蒐集流程- 軌跡資訊 選擇商品 另外你也蒐集了 以下的軌跡資料 性別 地址 喜好 購物歷史資訊 加入會員 瀏覽、興趣資訊 電話 IP Address email Cookies 瀏覽器的種類 送貨資訊 收件人姓名 網頁瀏覽時間 有時不同於 收件人地址 付款人 發票資訊 非直接蒐集之個資 收據簽收人資訊 請款過程 信用卡資訊 分期資訊 信用卡紅利 12
個資資產盤點– 個資法 17 條依法公開作業 13 Ref: http://www.dayes.tyc.edu.tw/modules/tadnews/index.php?op=dlfile&fsn=238&nsn=2172
個人資料檔案清查 14
盤點個資 • 人工、半人工方式(工具輔助) • 資料類別、使用單位 • 蒐集方式 以 Openfind 工具為例: Ref: 圖形來源: Openfind OES 產品說明 15
盤點個資 個資資料蒐集類別 其他資料欄位 資料蒐集方式 同意行使方式 個資行為模 資料類 no 服務/流程 系統 個人資料名稱 聯絡 聯絡 聯絡 式 型 身分 會員 網路 儲值 儲值 借書 討論區留 姓名 生日 方式- 方式- 方式- 其他 密碼 來源 方式 使否行使同意 行使方式 證號 代號 帳號 金額 記錄 紀錄 言 email 地址 電話 填寫會員申 1 會員卡登記 無 蒐集、處理 會員資料紙本 Paper v v v v v v 親自 v 書面同意 請書 2 會員登記 Member 蒐集、處理 會員資料 DB v v v v v v v 親自 櫃台輸入 填寫線上申 網路會員 3 網站會員登記 Web-Member 蒐集、處理 網站會員資料 DB v v v v v v 網路 v 請書 權益 預付金額 Book 處理 v v 4 借書 Book 處理 借書紀錄 DB v v v v v v v 5 還書 Book 處理 還書記錄 DB v v v v v v v 6 催書 Book 利用 催書報表 View v v v v v v v 7 催書報表列印 Book 利用 催書報表(列印) Paper v v v v v v v v v 8 統計報表 Report 處理 Monthly Report View v v v v v 9 行銷推廣 Promotion 利用 行銷電子報 DB v v v v v 10 聯合推廣 Promotion 利用 會員名錄 View v v v v v v v 資料蒐集方式 同意行使方式 保存方式 利用方式 使否行 合於同意之目 來源 方式 行使方式 地點 /主機 方式 利用行為 地點 使同意 的 親自 填寫會員申請書 v 書面同意 上鎖資料櫃 紙本 親自 櫃台輸入 DB1, BK1 SQL DB file 網路 填寫線上申請書 v 網路會員權益 DB1, BK1 SQL DB file DB1, BK2 SQL DB file 客戶管理 DB1, BK3 SQL DB file 客戶管理 DB1, BK4 SQL DB file 客戶管理 櫃台資料櫃 紙本 客戶管理 DB1, BK5 SQL DB file 客戶管理 DB1, BK6 SQL DB file 行銷至個人 內部 同意行銷 AP1 主機 email 檔案 行銷至個人 外部 未同意 16
個資行為盤點 • 作業流程分析 • 盤點蒐集來源、方式、管道 • 盤點現有利用方式 – 利用方式、利用對象、利用期間、利用地區 • 盤點個資處理方式 – 存放及保護方式 處理流程 資料流向 存取 • 盤點既有之個人資料檔案(技術性盤點) – 種類、項目、數量、期間、包括備份及其他備援資料庫 • 舉證證據盤點 – 告知內容、同意證明、權利行使證明 17
行為盤點 個資行為 內 個人資料流向(紀錄個資的流向,非使用的發起) 委 外 國 部 外 部 際 no 服務/流程 流 起點 作 利 傳 程 蒐 處 利 目的外 利用方式 對象 利用 行為行使/發起者 利用人/系統 個資檔案 個資檔案 業 用 輸 管道/系統/功能說明/證據 集 理 用 管道/媒介/程式/過程說明 終點 /組織 C-1 會員服務(等同買家) C1-1 加入會員 1 v 當事人 當事人輸入 加入會員 DB: Member T: User Basic https://member.aircamel.com.tw/register.php 1 Facebook 認證 2 v 當事人 消費者輸入 facebook 認證程式網頁 DB: Member T: User Auth v ? Facebook 會員登入 2 Google 驗證 3 v 當事人 消費者輸入 google 認證程式 DB: Member T: User Auth v ? 首頁 U-1 U1-1 email 認證(Active status) 4 v 系統 系統 DB: Member 寄出確認函 當事人 確認函 1 認證後畫面 5 認證後畫面 C1-2 會員中心-個人資料管理 6 v https://member.aircamel.com.tw/profile.php C1-3 會員認證狀態 7 https://member.aircamel.com.tw/certificate.php 1 身分證認證 8 v 當事人 https://member.aircamel.com.tw/ID_verify.php 利用所蒐集各資,至內政部 網站進行查驗換補發日期是 U-2 U2-1 驗證身分證補發日期 9 v 系統 系統 DB: Member T:User_Auth 否正確程式 parsing 內政部網 站 C1-4 手機驗證 10 當事人 當事人輸入 網頁 DB: Member T-User Basic https://member.aircamel.com.tw/mobile_verify1.php 驗證程式呼叫 API 後發出簡 當事人回填該 U2 U2-2 手機驗證 11 v 系統 系統 https://member.aircamel.com.tw/mobile_verify_adv1.ph 訊 code 回系統 C1-5 個人化設定 12 https://member.aircamel.com.tw/personalize.php C1-6 相簿及社交網址 13 https://member.aircamel.com.tw/SNS.php http://www.aircamel.com.tw/mystore/mystore_profile.p C-2 C2-1 開通我的店鋪設定 14 v p C-3 C3-1 升級認證(第二支手機) 15 v 系統 系統 驗證程式 當事人 C-2 賣家個資蒐集 C2-1 C-3 金流管理 C3-1 個人用戶申請 16 v 當事人 當事人 paynow_open_step1 Paynow v 18
告知函撰寫-告知時機 停止 蒐集 處理 利用 利用 刪除 1 2 3 直接蒐集 間接蒐集 於蒐集時告知 於處理或利用前告知 (第八條) (第九條) 4 間接蒐集 得於首次對當事人為利用時併同為之 (第九條) 19
施行細則: 告知方式 • 第十三條 依本法第八條、第九條及第五 十四條所定告知之方式,得以書面、電話 、傳真、電子文件或其他適當方式為之。 20
QUESTION : 網站隱私權宣告? 合法? • 請問網站隱私權宣告有效嗎? 符合法定 要求(第八條)嗎? 21
傳統網站隱私權宣告的內容 • 本公司會善盡保管責任,做好資訊安全? • 本公司不會將你的個資分享給他人? • 當事人應保管自己帳號,如因帳號被盜用後果自 負? • 本公司將依據相關法令 保護您的個資? • …… • ….. 22
新法: 法條 §8 告知義務(直接蒐集) 第8條 公務機關或非公務機關依第十五條或第 十九條規定向當事人蒐集個人資料時,應明確告知 當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權 益之影響。 23
告知非公務機關名稱 (常見錯誤) • 告知網站名稱 – XX 購物網? • 告知行銷名稱 – 8-12 便利商店? • 告知產品、服務名稱 – ABC Searching Service ABC 搜尋服務 • 法律要求 告知非公務機關名稱,應以法定登記名稱為 主否則易造成困擾 – 無法辨識法定的非公務機關名稱 – 例如 同一服務但該服務的執行單位更換或易手的情形 • 這與 EV SSL 登記時須登記法定名稱的用意相同 24
新法: 法條 §8 告知義務(直接蒐集) 第8條 公務機關或非公務機關依第十五條或第 十九條規定向當事人蒐集個人資料時,應明確告知 當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權 益之影響。 25
特定目的 V.S. 蒐集之目的 • 第 5 條 個人資料之蒐集、處理或利用,應尊重當 事人之權益,依誠實及信用方法為之,不得逾越 特定目的之必要範圍,並應與蒐集之目的具有正 當合理之關聯。 • 請問法條第八條 要求告知的目的為? 特定目的? 還 是 蒐集之目的? 26
特定目的: 法定 電腦處理個人資料保護法之特定目的 (民國 85 年 08 月 07 日 公發布) • 代號 特定目的項目 • ○七三 經營郵政業務郵政儲匯保險業務 • ○○一 人身保險業務 (依保險法令規定辦理之人身保險相關業務) • ○○二 人事行政管理 • ○七四 經營電信業務與電信加值網路業務 • ○○三 土地行政 • ○七五 債權整貼現及收買 • ○○四 公立與私立慈善機構之目標 • ○七六 漁業行政、管理 • ○○五 公共衛生 • ○○六 公共關係 • ○七七 僱用服務管理 • ○○七 火災預防與控制 • ○七八 輔助性與後勤支援 • ○○八 戶政及戶口管理 • ○七九 學生資料管理 • ○○九 不動產服務 • ○一○ 公職人員財產申報業務 • ○八○ 徵信 • ○一一 立法或立法諮詢 • ○八一 學術研究 • ○一二 民政 • ○八二 選舉、罷免事務 • ○一三 代理與仲介之管理 • ○一四 犯罪預防、型事偵查、執行、矯正、保護處分或更生保護事 • ○八三 衛生行政 務 • ○八四 營建業之行政管理 • ○一五 外匯管理 • ○八五 輻射公害 • ○一六 生態保育 • ○一七 合法性審計 • ○八六 輻射防護 • ○一八 交通運輸 • ○八七 環境保護 • ○一九 刑案資料管理 • ○八八 糧食行政、管理 • ○二○ 存款與匯款業務管理 • ○二一 行銷 (不包括直銷至個人) • ○八九 保健醫療服務 • ○二二 行銷 (包括直銷至個人) • ○九○ 警政 • ○二三 有價證券之承銷、自營買賣或代客買賣業務管理 • ○九一 護照、簽證及文件證明處理 • ○二四 有價證券與有價證券持有人登記 • ○二五 住宅政策 • ○九二 觀光旅館業及旅行業管理業務 • ○二六 兵役行政 • ○九三 其他中央政府 • ○二七 社會行政 • ○九四 其他公共部門 • ○二八 社會服務或社會工作 • ○九五 其他司法行政業務 • ○九六 其他地方政府事務 • ○九七 其他合於營業登記項目或章程所定業務之需要 • ○九八 其他金融業務管理 • ○九九 其他財政收入 • 一○○ 其他財政服務 • 一○一 其他諮詢與顧問服務。 27
範例: 電子商務公司 特定目的: ○三七 客戶管理 姓名、身分證號 蒐集目的: 交易身分確認 蒐集 地址 蒐集目的: 寄送貨品 蒐集目的: 寄送會員生日禮,判斷是 處理 出生年月日 否滿二十歲 利用 第 5 條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及 信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正 當合理之關聯。 28
特定目的、蒐集目的比較 旅遊業 特定目的: ○三九 訂位、住宿登記與購票事項 蒐集目的: 保險登記、法定住宿登記事項 身分證字號: U120XXX120 銀行信用卡 特定目的: ○三八 信用卡或轉帳卡之管理 蒐集目的: 確認法定身分 教育訓練中心 特定目的: ○五三 教育或訓練行政 蒐集目的: 辦理公務人員終身學習點數登記 29
特定目的 V.S. 蒐集之目的 • 特定目的: – 蒐集個資的主要目的, – 從事的行業: 例如信用卡及轉帳卡管理、保健醫療服務。 – 從事的職務: 例如 人事行政管理、客戶管理、會員管理等。 – 像一個框框,蒐集、處理、利用不應超出 • 蒐集之目的 – 為法定應告知項目 – 蒐集個資的原因: 例如: 確認身分,核發血型信用卡等 – 常與蒐集之類別一併告知,例如蒐集您的電話號碼是方便在您中 獎時通知您前來領獎。 – 蒐集、處理、利用必須與蒐集之目的有合理的關聯。 30
告知函改寫 (1) • ○○電子商務網站為○○公司經營管理,為了確保消費者之個人資料及隱私 及消費者權益之保護,於交易過程中將使用消費者之個人資料,謹依個人資 料保護法第8條規定告知以下事項: 一、蒐集目的及方式 本公司之蒐集目的在於進行客戶管理、會員管理及行銷及內部的統計調查與分析 (法定特定目的項目編號為 037, 066, 022, 060)。蒐集方式將透過加入會員或 訂購單填寫方式進行個人資料之蒐集。 二、蒐集之個人資料類別 本公司於網站內蒐集的個人資料包括 1.C001辨識個人者: 如消費者之姓名、地址、電話、電子郵件等資訊。 2.C002辨識財務者: 如信用卡或轉帳帳戶資訊。 3.C003政府資料中之辨識者: 如身分證字號或護照號碼(外國人)。 4.C011個人描述: 如性別、國籍、出生年月日。 5.C021家庭情形: 如婚姻狀況、有無子女等。 31
告知函改寫 (2) • 三、利用期間、地區、對象及方式 1. 期間: 本公司營運期間。 2. 地區: 消費者之個人資料將用於台灣地區。 3. 利用對象及方式: 消費者之個人資料蒐集除用於本公司之會員管理、客戶管理之檢索 查詢等功能外將有以下利用 4. 用於物品寄送: 於交寄相關商品時將消費者個人資料利用於交付給相關物流、郵寄廠 商用於物品寄送之目的。 5. 用於金融交易及授權: 消費者所提供之財務相關資訊,將於金融交易過程(如信用卡授 權、轉帳)時提交給金融機構以完成金融交易。 6. 行銷: 本公司將利用消費者之地址及郵件、電話號碼進行本公司或合作廠商商品之宣 傳行銷。 • 四、消費者個人資料之權利: 消費者交付本公司個人資料者,依個資法得行使以下權利 1. 查詢或請求閱覽。 2. 請求製給複製本。 3. 請求補充或更正。 4. 請求停止蒐集、處理或利用。 5. 請求刪除。 消費者可來電洽詢本公司客服進行申請。 32
出口管制 • 內部利用(處理)、外部利用 • 驚動當事人 – Email、 信件、簡訊、電話聯絡….. • 公告、列印、出版 • 檢討接觸當事人的 – 與原告之蒐集目的是否相符 – 聯絡方式(郵寄標籤、平信寄送?、簡訊標題?具名 ?...) • 黑白名單 33
上網陳情個資曝光 政府部門創公務機關 侵害隱私判賠罕例 •據媒體報導,一名於2007年退役的教官,因某單位薪資給付 短少1天,故於隔年陳情至總統信箱,再移至某單位處理, 但該部卻將這位教官的陳情書連同姓名,公布在官方網站的 常見問題中。當事人認為其隱私權遭侵害,故請求國賠,台 北地方法院日前判賠新台幣5,000元,創下公務機關侵害隱 私判賠的罕見案例。 34
不當利用會員資料 某學會洩三千筆會員個資 • 2010年 06月15日 【投訴組╱台北報導】台灣某資訊管理學會印製的會員手冊 ,所附的通訊錄竟列出三千多筆會員的身分證字號,令會 員傻眼,直呼「太惡劣!」台灣某資訊管理學會表示,過 去都這麼做,不過接獲會員反映不妥後,已銷毀庫存的百 餘本手冊,並要求領到的會員妥善保管。律師指出,會員 若因資料外洩造成損失,可向學會提出民事求償。 • Ref: 蘋果日報 http://tw.nextmedia.com/applenews/article/art_id/32585809/IssueID/20100615 35
役男質疑履歷洩個資 某部、某會否認 • 2011/07/22 08:48:56 瀏覽56|回應0|推薦0 〔自由時 報記者曾韋禎、廖千瑩、蘇永耀∕台北報導〕為協助屆退 官兵順利轉入職場,某部和某會等部會長期合作舉辦就業 博覽會,但有役男質疑個資遭外洩,對此某部指出,今年 首度上軍網登錄,並由y某求職網得標,服務成效創下歷 年紀錄,雙方按合約辦理,無洩漏個資之嫌。 • 某立委召開記者會指出,有役男向他陳情,退伍前被迫填 寫履歷,之後卻收到來自某的簡訊,役男個資疑遭某部出 賣。 • Ref:- udn部落格 http://blog.udn.com/benlais/5454705#ixzz1ZrU3fVLi 36
請問下面狀況要賠多少? 地址: 新北市 251 登輝大道一號 收件人: 黃甲乙 59/04/24 37 37
信封印生日 某某運動用品遭控洩個資 • 在大台北地區相當著名的「某某運動用品世界」,上月寄給當月壽星會員生日賀卡, 因信封名條印著會員生日,引起林姓會員不滿,抗議個資外洩,並向消保官申訴。 • 消保官周先生昨天邀兩造協商,林先生調擔心個資外洩遭歹徒利用,對業者提多項和 解條件都無法安心,致協商破裂。周先生說,生日確屬個人資料,但業者是善意,尚 不構成違反個人資料保護法裁罰要件,已勒令業者立即改善。 • 某某運動用品世界林經理說,自上月接獲林先生抗議後,本月起已不在會員名條上印 出生日。 已有20多年歷史的某某運動用品世界,在大台北地區有12家分店,擁有一萬 餘名會員,當月壽星可到各分店享有一次不限消費額七折優惠。 • 林先生投訴指出,去年9月到三重店消費滿5000元成為會員,今年6月接到壽星賀卡, 名條上卻印出他的生日。很擔心投在信箱的賀卡資料遭歹徒盜走,向他父母行騙。 • 林先生說,他四度致電店家,店家應允處理,仍無對策,林經理說,接獲抗議向林先 生道歉,也贈送著名品牌的運動禮盒致意,但被退回。昨天協商時,他提出以1000元 補償4次電話費用、送2000元運動商品,也願意書面允諾日後若因此次生日資料造成林 先生損失,公司願負賠償責任,都不被接受。此事令他有點無奈,但仍須尊重消費者 的意見。 • 周繼雄說,由於林先生非常擔心生日資料外洩產生後遺症,卻始終提不出具體和解條 件,已請林先生必要時提民事求償。 38
某銀行非法利用個資 • 某商業銀行將註記為不同意共同行銷之客戶交易資料逕行 提供某客服科技(股)公司辦理保險電話行銷乙案,核有違 反金融控股公司法第43條第2項規定,依同法第60條第1項 第13款規定核處罰鍰新臺幣200萬元。 • 一、貴行提供某客服科技(股)公司辦理保險商品電話行銷 業務之資料中,包含15,496筆不同意共同行銷之客戶資料 ;經抽查其中多筆資料均包含客戶交易資料,違反金融控 股公司法第43條第2項金融控股公司之子公司間共同使用 客戶資料時,其交易資料應先經客戶書面同意之規定。 Ref: http://www.fscey.gov.tw/Layout/main_ch/News_NewsContent.aspx?NewsID=43373&LanguageTy pe=1&path=1738 39
平信寄出 • 【投訴組╱台北報導】蔡先生投訴,他用傳真約定書方式 向某銀行申請信用卡代繳電信費,因資料不全遭退件,中 信銀卻用平信方式將資料寄還給他,由於約定書上有他卡 號及身分證字號等個人資料,他認為太不安全。 該銀行稱,信封已密封,客戶的個資不會因此外洩。消基 會董事李先生認為,卡號、身分證字號、簽名等屬於重要 個資,銀行至少以掛號方式寄還申請書,較為謹慎。 蔡先生說,11月中,他收到某行銀平信方式寄給他的郵件 ,拆封後發現竟是他傳真給銀行的信用卡代繳費用約定書 Ref: http://tw.nextmedia.com/applenews/article/art_id/30063755/IssueID/20071212 2011 40 40
進行新蒐集個資管制制度(1) 新資料蒐集前檢核申請表(範本) 申請日期 2012 年 1 月 1 日 申請內容 蒐集目的 辦理參訪及研習 蒐集類別 (格式 項目: 法定類別編號) C001 C003 C023 C088 特定目的 1. 001 2. 053 3. 039 特定目的與本公司業務相關性說明: 本校代辦住宿、平 安保險 法源依據及法律要求 (請注意確認為法律規定,行政命令),如有公文請列為附 說明(例如: 最小保 件 存時間) 法律名稱: 條文: 公文名稱: 蒐集格式 紙本 電子檔(活動報名系統轉出資料) 41
進行新蒐集個資管制制度(2) 個資保存時間 活動報名及舉行期間 個資保存方式 紙本 電子檔(活動報名系統轉出資料) 預計利用方式(期 1. 100/7/10~100/7/15 檢查是否合於 間、地區、方式) 2. 國內 特定目的: (由 3. 辦理保險、訂房、核發研習證明 法務室填寫) 資料蒐集方式 直接蒐集 如為間接蒐集 間接蒐集資料來源:______________________________ 來源分類:商業資料庫公開可取得來源其他____ 間接蒐集資料來源合法性檢 查:___________________________ 42
進行利用前管制制度 • 設計利用前管理制度 利用方式 依法須告知者填寫 與告知之蒐集之目的 與告知之利用方式相 合於特定目的之必 利用行為說明 合於法定義務 關聯(免告知者免填) 符合(免告知者免填) 要範圍 43
設計特地目的外利用前管制 特定目的外利用 目的之必 書面同意方式 書面同意單獨為之 特定目的外利用說明 告知利用目的說明 告知之範圍 告知方式 範圍 (書面/電子文件?) 證據 44
建立最小蒐集原則 • 最小蒐集則說明 – 僅依照蒐集目的必須之最小資料進行蒐集 – 執行業務所必須 – 蒐集之效益與保存的成本 – 具備替代性方案 – 超出最小蒐集原則之以蒐集資料應進行刪除或 停止處理或利用 45
進行資訊安全維護 • 第九條 本法所稱適當安全維護措施、安全維護事項或適當之安全措 施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、 滅失或洩漏,採取技術上及組織上之必要措施。前項必要措施,應包 括下列事項: 一、成立管理組織,配置相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、必要之使用紀錄、軌跡資料及證據之保存。 十一、個人資料安全維護之整體持續改善。第一項必要措施,以所須支出之 費用與所欲達成之個人資料保護目的符合適當比例者為限。" 46
Google什麼都搜, 耶魯大學43000筆個資恐外洩 •Google從去年九月開始,搜尋引擎開始將檔案傳輸伺服器 (FTP)內容納入,耶魯校方沒有對此調整相關設定,導致內 容包含姓名與美國社會局安全號碼的資料文件遭Google搜尋 引擎納入。 •耶魯大學表示,該校43000名校友的姓名與美國社會安全號 碼,去年九月起遭Google搜尋連結而暴露在網路中長達十個 月,耶也大學直到6/30才發現並刪除該文件,Google也已經 移除該連結。 •今年將有諸多措施以提昇耶魯校內資訊安全,包含與Google 有更緊密的聯繫。耶魯大學今年九月份開始,將校內的電子 郵件系統外包給Google。 47
合法使用者為企業機密資料的主要外洩管道 • 美國CSI (Computer Security Institute) 的調查 數據 – 70% 內部合法使用者造成 – 39% 員工曾經將客戶資料寄出 – 52% 曾在離職時帶走工作資料 – 86% 習慣性將郵件轉寄他人 48
2008 年日本個資洩漏分析 Ref: 2008 Information Security Incident Survey Report, JNSA 49
管理系統 V.S. 資安技術機制 • 駭客入侵手法 – RSA 員工被誘導開啟惡意信件…. • 駭客能力 – Google, Apple, RSA, Sony… • 單單依靠技術機制防禦並不足以防範 • 除了技術機制, ISO27001 標準重視 – 預防型的控制措施 – 多重層次的安全管控 – 從事故、事件中快速學習修正 50
資訊安全控管機制 預防型 管理機制 監督、舉證 技 防火牆、防毒牆 防毒軟體 AD Server, VPN CAM, CCD Log Server 術 IPS, IDS, WAF Token, OTP Mail Archive 解 Spam mail 加密機制 Switch/Router 門禁管理 網路側錄 Layer 7 monitoring EIM, DLP 流量監督管理 政策、程序、表單、紀錄 管 禁用 USB, P2P, 3G, Wireless, MSN, Skype……… 理 密碼定期更換、密碼複雜度、密碼保護原則 解 資產管理、門禁管理、資產攜出入管理 郵件使用規範、機密分級、 人員安全、訓練、認知、能力管理…… 51
個資保護與資訊安全 資料蒐集 資料處理 資料利用 資料儲存 行銷 資料傳輸 查詢 資料備份 統計 資料刪除 銷售 資 訊 安 全 人員安全 實體安全 存取安全 網路安全 AP 安全 52
ISO 27001 -ISMS 11 個領域, 39個控制目標, 133個控制措施 管 5 管理責任 6 ISMS 內部稽核 4.2 建立與 理 4.3 文件化 5.2 管理承諾 系 管理 7. 管理階層審查 要求 5.2 資源管理 統 ISMS 5.2.2 教育 8. ISMS 持續改進 A.5 – 安全政策 A.6 –資訊安全的組織 A.7 – 資產管理 資 安 A.8 特 A.9 A.10 A.12 殊 人力資源安全 實體與環境安全 通訊與作業管理 資訊系統獲取、 控 開發及維護 制 A.11 –存取控制 項 A.13 –資訊安全事故管理 A.14 – 營運持續管理 A.15 –遵循性 53
進行委外管理 • 委託蒐集、處理、利用均屬委外作業 • 委外合約 • 委外監督的目的及作法 • 留存紀錄及管理監督之證據 54
台灣個資法 施行細則(草案)第八條 委外管理 •第八條 委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對 受託人為適當之監督。 •前項監督至少應包含下列事項: 一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 二、受託人就第九條第二項應採取之必要措施。 三、有複委託者,其約定之受託人。 四、受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通 知之事項及採行之補救措施。 五、委託人對受託人保留指示之事項。 六、委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資 料之刪除 •第一項之監督,委託人應定期確認受託人執行之狀況,並將確認結果記錄之 。受託人僅得於委託人指示之範圍內,蒐集、處理或利用個人資料。受託人 認委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通 知委託人。 55
善盡管理人責任 進 要求管理項目 行 積 溝通 / 告知 極 各 的 項 確認具備執行能力 預 存 監督/ 審查 防 證 措 矯正/ 指示 施 56
個資管理表單導入與介紹 57
個資管理表單導入與介紹 1-5 當事人同意行使管理 1 個資蒐集管理程序書 1.5.1 書面同意管理 1.5.2 電子文件同意方式管理 1-1 特定目的管理程序 1.5.3 契約或類契約方式管理 1.5.4 當事人自行公開或合法管道管理 1.1.1 訂定組織特定目的 1.5.5 其他同意方式管理 1.1.2 規範員工遵循組織宣告之特定目的 1.5.6 同意證據之保存管理 1.1.3 公告特定目的(公務機關) 1.1.4 告知當事人組織之特定目的(非強制) 1-6 利用方式、對象、地區、期間說明 1-2 蒐集之目的管理 利用方式管理 1.2.1 訂定蒐集之目的 利用對象管理 1.2.2 告知當事人組織蒐集之目的 利用地區管理 1.2.3 規範員工遵循組織宣告之蒐集之目的 利用期間管理 1-3 蒐集資料類別管理 超出利用方式宣告後的告知與同意要求 1.3.1 最小蒐集原則管理 1-7 蒐集個資與當事人權益管理 1.3.2 蒐集類別告知方式說明 1.3.3 線上蒐集作業時的隱含蒐集類別管理 因不提供個資而影響當事人權益 因不提供個資而無法申請服務之管理 1.3.4 軌跡資料蒐集告知 消費者保護法與各資蒐集 1-4 告知當事人管理程序 告知當事人方式 1.4.1 直接蒐集告知管理 1.4.2 間接蒐集告知管理 1-8 超出宣告範圍蒐集、處理、利用管理程序 1.4.3 網路蒐集告知管理 超出特定目的後管理程序 1.4.4 使用語音/電話告知管理 超出蒐集之目的後管理程序 1.4.5 首次行銷利用告知管理 超出已告知利用方式後管理程序 1.4.6 特定目的外利用告知 1-9 第三方取得/間接蒐集個資管理程序 1.4.7 使用電子文件告知管理 間接取得告知 1.4.8 告知證據之保存管理 第三方擁有個資合法性檢查 第三方交付個資合法性檢查 58 間接蒐集告知當事人方式管理
個資管理表單導入與介紹 F-1-001 個人資料蒐集申請表 表單 F-1-002 個人資料交換或取得申請表 表單 T-1-001 書面告知文件範本 範本 T-1-002 網路/電子文件告知文件範本 範本 T-1-003 電話方式文件告知範本(話術稿) 範本 T-1-004 網路隱私權宣告範本 範本 59
Workshop 1: 建立管理程序 • 方式: 小組討論,產出小組結果。 • 目的說明: 協助學員透過管理系統建議建立 管理程序。 • 任務說明: – 請依照案例(或自訂案例)建立其個資蒐集前管 理程序(包括流程及負責人員)或查檢表。 • 產出: (Word 或 Power Point 格式) – (1)請產出新資料蒐集前管理程序或查檢表。 60
Q&A 61

Recommended

Bibliominería: bibliometría y minería de datos
Bibliominería: bibliometría y minería de datosBibliominería: bibliometría y minería de datos
Bibliominería: bibliometría y minería de datosUniversidad de Belgrano
 
Funktion suurin ja pienin arvo laskemalla
Funktion suurin ja pienin arvo laskemallaFunktion suurin ja pienin arvo laskemalla
Funktion suurin ja pienin arvo laskemallateemunmatikka
 
InfoGAN Paper Review
InfoGAN Paper ReviewInfoGAN Paper Review
InfoGAN Paper Review태엽 김
 
パターン認識と機械学習6章(カーネル法)
パターン認識と機械学習6章(カーネル法)パターン認識と機械学習6章(カーネル法)
パターン認識と機械学習6章(カーネル法)Yukara Ikemiya
 
QM-020-ISO品質文件撰寫訓練教材
QM-020-ISO品質文件撰寫訓練教材QM-020-ISO品質文件撰寫訓練教材
QM-020-ISO品質文件撰寫訓練教材handbook
 
[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225
[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225
[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225Yi-Feng Tzeng
 
2011創微楷模選拔簡章 詹翔霖教授
2011創微楷模選拔簡章 詹翔霖教授2011創微楷模選拔簡章 詹翔霖教授
2011創微楷模選拔簡章 詹翔霖教授文化大學
 
網擎資訊個資法因應案例分享
網擎資訊個資法因應案例分享網擎資訊個資法因應案例分享
網擎資訊個資法因應案例分享P-Marker
 

Recommended

Bibliominería: bibliometría y minería de datos
Bibliominería: bibliometría y minería de datosBibliominería: bibliometría y minería de datos
Bibliominería: bibliometría y minería de datosUniversidad de Belgrano
 
Funktion suurin ja pienin arvo laskemalla
Funktion suurin ja pienin arvo laskemallaFunktion suurin ja pienin arvo laskemalla
Funktion suurin ja pienin arvo laskemallateemunmatikka
 
InfoGAN Paper Review
InfoGAN Paper ReviewInfoGAN Paper Review
InfoGAN Paper Review태엽 김
 
パターン認識と機械学習6章(カーネル法)
パターン認識と機械学習6章(カーネル法)パターン認識と機械学習6章(カーネル法)
パターン認識と機械学習6章(カーネル法)Yukara Ikemiya
 
QM-020-ISO品質文件撰寫訓練教材
QM-020-ISO品質文件撰寫訓練教材QM-020-ISO品質文件撰寫訓練教材
QM-020-ISO品質文件撰寫訓練教材handbook
 
[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225
[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225
[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225Yi-Feng Tzeng
 
2011創微楷模選拔簡章 詹翔霖教授
2011創微楷模選拔簡章 詹翔霖教授2011創微楷模選拔簡章 詹翔霖教授
2011創微楷模選拔簡章 詹翔霖教授文化大學
 
網擎資訊個資法因應案例分享
網擎資訊個資法因應案例分享網擎資訊個資法因應案例分享
網擎資訊個資法因應案例分享P-Marker
 
網路金流機制服務簡介2012
網路金流機制服務簡介2012網路金流機制服務簡介2012
網路金流機制服務簡介2012ilovejoomla
 
電子商務:實名制
電子商務:實名制電子商務:實名制
電子商務:實名制志堅 汪
 
1208 information privacy 論文報告
1208 information privacy 論文報告1208 information privacy 論文報告
1208 information privacy 論文報告柏宇 陳
 
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會文化大學
 
100年度中小企業因應個人資料保護法手冊
100年度中小企業因應個人資料保護法手冊100年度中小企業因應個人資料保護法手冊
100年度中小企業因應個人資料保護法手冊維詮管理顧問公司
 
微型企業創業楷模選拔 詹翔霖教授
微型企業創業楷模選拔 詹翔霖教授微型企業創業楷模選拔 詹翔霖教授
微型企業創業楷模選拔 詹翔霖教授文化大學
 
從國際標準探討資安及個資法因應之道
從國際標準探討資安及個資法因應之道從國際標準探討資安及個資法因應之道
從國際標準探討資安及個資法因應之道OFMKT
 
如何向銀行辦理青年創業貸款 詹翔霖教授
如何向銀行辦理青年創業貸款 詹翔霖教授如何向銀行辦理青年創業貸款 詹翔霖教授
如何向銀行辦理青年創業貸款 詹翔霖教授文化大學
 
申請信保手續費補助流程 詹翔霖教授
申請信保手續費補助流程 詹翔霖教授申請信保手續費補助流程 詹翔霖教授
申請信保手續費補助流程 詹翔霖教授文化大學
 
140324電子商務經營之法律議題-從個資法與第三方支付談起
140324電子商務經營之法律議題-從個資法與第三方支付談起140324電子商務經營之法律議題-從個資法與第三方支付談起
140324電子商務經營之法律議題-從個資法與第三方支付談起Wenchi Lai
 
個人資料蒐集、處理及利用告知事項
個人資料蒐集、處理及利用告知事項個人資料蒐集、處理及利用告知事項
個人資料蒐集、處理及利用告知事項The Securities Research Society of University of Taipei
 
公職人員利益衝突迴避法
公職人員利益衝突迴避法公職人員利益衝突迴避法
公職人員利益衝突迴避法英傑 賴
 
承保業務網路服務專區10409
承保業務網路服務專區10409承保業務網路服務專區10409
承保業務網路服務專區10409nhi111
 
二代U盾快速使用指南
二代U盾快速使用指南二代U盾快速使用指南
二代U盾快速使用指南liulizhiri
 
貸款信用保證要點 運動服務產業-詹翔霖教授
貸款信用保證要點 運動服務產業-詹翔霖教授貸款信用保證要點 運動服務產業-詹翔霖教授
貸款信用保證要點 運動服務產業-詹翔霖教授文化大學
 
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授文化大學
 
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)Wales Chen
 
保護個資
保護個資保護個資
保護個資lys167
 
HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會Chris Lin
 
Threat metrix全球共享数字身份情報
Threat metrix全球共享数字身份情報Threat metrix全球共享数字身份情報
Threat metrix全球共享数字身份情報Ken Lam
 

More Related Content

Similar to 3.3電子商務業者如何避開違法的十個步驟及快速導入個資管理表單

網路金流機制服務簡介2012
網路金流機制服務簡介2012網路金流機制服務簡介2012
網路金流機制服務簡介2012ilovejoomla
 
電子商務:實名制
電子商務:實名制電子商務:實名制
電子商務:實名制志堅 汪
 
1208 information privacy 論文報告
1208 information privacy 論文報告1208 information privacy 論文報告
1208 information privacy 論文報告柏宇 陳
 
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會文化大學
 
100年度中小企業因應個人資料保護法手冊
100年度中小企業因應個人資料保護法手冊100年度中小企業因應個人資料保護法手冊
100年度中小企業因應個人資料保護法手冊維詮管理顧問公司
 
微型企業創業楷模選拔 詹翔霖教授
微型企業創業楷模選拔 詹翔霖教授微型企業創業楷模選拔 詹翔霖教授
微型企業創業楷模選拔 詹翔霖教授文化大學
 
從國際標準探討資安及個資法因應之道
從國際標準探討資安及個資法因應之道從國際標準探討資安及個資法因應之道
從國際標準探討資安及個資法因應之道OFMKT
 
如何向銀行辦理青年創業貸款 詹翔霖教授
如何向銀行辦理青年創業貸款 詹翔霖教授如何向銀行辦理青年創業貸款 詹翔霖教授
如何向銀行辦理青年創業貸款 詹翔霖教授文化大學
 
申請信保手續費補助流程 詹翔霖教授
申請信保手續費補助流程 詹翔霖教授申請信保手續費補助流程 詹翔霖教授
申請信保手續費補助流程 詹翔霖教授文化大學
 
140324電子商務經營之法律議題-從個資法與第三方支付談起
140324電子商務經營之法律議題-從個資法與第三方支付談起140324電子商務經營之法律議題-從個資法與第三方支付談起
140324電子商務經營之法律議題-從個資法與第三方支付談起Wenchi Lai
 
公職人員利益衝突迴避法
公職人員利益衝突迴避法公職人員利益衝突迴避法
公職人員利益衝突迴避法英傑 賴
 
承保業務網路服務專區10409
承保業務網路服務專區10409承保業務網路服務專區10409
承保業務網路服務專區10409nhi111
 
二代U盾快速使用指南
二代U盾快速使用指南二代U盾快速使用指南
二代U盾快速使用指南liulizhiri
 
貸款信用保證要點 運動服務產業-詹翔霖教授
貸款信用保證要點 運動服務產業-詹翔霖教授貸款信用保證要點 運動服務產業-詹翔霖教授
貸款信用保證要點 運動服務產業-詹翔霖教授文化大學
 
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授文化大學
 
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)Wales Chen
 
保護個資
保護個資保護個資
保護個資lys167
 
HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會Chris Lin
 
Threat metrix全球共享数字身份情報
Threat metrix全球共享数字身份情報Threat metrix全球共享数字身份情報
Threat metrix全球共享数字身份情報Ken Lam
 

Similar to 3.3電子商務業者如何避開違法的十個步驟及快速導入個資管理表單 (20)

網路金流機制服務簡介2012
網路金流機制服務簡介2012網路金流機制服務簡介2012
網路金流機制服務簡介2012
 
電子商務:實名制
電子商務:實名制電子商務:實名制
電子商務:實名制
 
1208 information privacy 論文報告
1208 information privacy 論文報告1208 information privacy 論文報告
1208 information privacy 論文報告
 
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會
Eap 報名表_職場暴力危害預防職場工作者身心健康保護實務系列-詹翔霖教授-職場暴力預防實務研討會
 
100年度中小企業因應個人資料保護法手冊
100年度中小企業因應個人資料保護法手冊100年度中小企業因應個人資料保護法手冊
100年度中小企業因應個人資料保護法手冊
 
微型企業創業楷模選拔 詹翔霖教授
微型企業創業楷模選拔 詹翔霖教授微型企業創業楷模選拔 詹翔霖教授
微型企業創業楷模選拔 詹翔霖教授
 
從國際標準探討資安及個資法因應之道
從國際標準探討資安及個資法因應之道從國際標準探討資安及個資法因應之道
從國際標準探討資安及個資法因應之道
 
如何向銀行辦理青年創業貸款 詹翔霖教授
如何向銀行辦理青年創業貸款 詹翔霖教授如何向銀行辦理青年創業貸款 詹翔霖教授
如何向銀行辦理青年創業貸款 詹翔霖教授
 
申請信保手續費補助流程 詹翔霖教授
申請信保手續費補助流程 詹翔霖教授申請信保手續費補助流程 詹翔霖教授
申請信保手續費補助流程 詹翔霖教授
 
140324電子商務經營之法律議題-從個資法與第三方支付談起
140324電子商務經營之法律議題-從個資法與第三方支付談起140324電子商務經營之法律議題-從個資法與第三方支付談起
140324電子商務經營之法律議題-從個資法與第三方支付談起
 
個人資料蒐集、處理及利用告知事項
個人資料蒐集、處理及利用告知事項個人資料蒐集、處理及利用告知事項
個人資料蒐集、處理及利用告知事項
 
公職人員利益衝突迴避法
公職人員利益衝突迴避法公職人員利益衝突迴避法
公職人員利益衝突迴避法
 
承保業務網路服務專區10409
承保業務網路服務專區10409承保業務網路服務專區10409
承保業務網路服務專區10409
 
二代U盾快速使用指南
二代U盾快速使用指南二代U盾快速使用指南
二代U盾快速使用指南
 
貸款信用保證要點 運動服務產業-詹翔霖教授
貸款信用保證要點 運動服務產業-詹翔霖教授貸款信用保證要點 運動服務產業-詹翔霖教授
貸款信用保證要點 運動服務產業-詹翔霖教授
 
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授
「高雄市政府小蝦米商業貸款」貸款文件及Q&a 詹翔霖教授
 
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)賽門鐵克個人資料保護法解決方案 (專注在 DLP)
賽門鐵克個人資料保護法解決方案 (專注在 DLP)
 
保護個資
保護個資保護個資
保護個資
 
HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會HITCON CMT 2017 - ZeroDay 發表會
HITCON CMT 2017 - ZeroDay 發表會
 
Threat metrix全球共享数字身份情報
Threat metrix全球共享数字身份情報Threat metrix全球共享数字身份情報
Threat metrix全球共享数字身份情報
 

3.3電子商務業者如何避開違法的十個步驟及快速導入個資管理表單

  • 3. 公務機關案例: 教官陳情個資曝光 政府部門判賠 • 新北市一名趙姓退役教官,不滿政府部門少發一 天薪水,上網陳情;沒想到,政府部門竟將這名 教官的個人相關資料,刊登在網站上;陳情人認 為隱私權嚴重遭侵害,請求國賠20萬,地院判決 應賠償 5千元,創下公務機關侵害隱私判賠的罕 見案例。 Ref: TVBS 新聞 http://www.tvbs.com.tw/news/news_list.asp?no=arieslu20110530115351 3
  • 4. QUESTION : 請問下面狀況要賠多少? 地址: 新東市 251 登輝大道一號 收件人: 黃甲乙 59/04/24 4
  • 5. 信封印生日 某某運動用品遭控洩個資 • 在大台北地區相當著名的「某某運動用品世界」,寄給當月壽星會員 生日賀卡,因信封名條印著會員生日,引起林姓會員不滿,抗議個資 外洩,並向新北市消保官申訴。 1 • 某某運動用品世界,自接獲林先生抗議後,本月起已不在會員名條上 印出生日。 • 林先生投訴指出,去年9月到某某三重店消費滿5000元成為會員,今 年6月接到壽星賀卡,名條上卻印出他的生日。很擔心投在信箱的賀 卡資料遭歹徒盜走,向他父母行騙。 • 林先生說,他四度致電店家,店家應允處理,仍無對策,林經理說 2 3 ,接獲抗議向林先生道歉,也贈送著名品牌的運動禮盒致意,但被退 4 5 回。昨天協商時,他提出以1000元補償4次電話費用、送2000元運動 6 商品,也願意書面允諾日後若因此次生日資料造成林先生損失,公司 願負賠償責任,都不被接受。此事令他有點無奈,但仍須尊重消費者 的意見。 • 周X雄說,由於林先生非常擔心生日資料外洩產生後遺症,卻始終提 不出具體和解條件,已請林先生必要時提民事求償。 5
  • 6. 處理狀況說明 • 民眾抗議 • 立即停止繼續列印生日於名條上 • 允諾處理、贈送著名品牌的運動禮盒致意 (被退) • 協調以 1000元補償4次電話費用、送2000元運動 商品 • 書面允諾日後若因此次生日資料造成林先生損失 ,公司願負賠償責任 • 和解? 民事訴訟? 遭行政裁罰? 6
  • 7. 個資法應辦事項整理 停止 蒐集 處理 利用 利用 刪除 1 2 3 告知 取得同意 處理或利用前告知 (間接蒐集) §8 §9 4 建立管理作業流程 接受當事人行使當事人權利 查詢 閱覽 制給複製本 補充 更正 停止蒐集處理利用 刪除 §10 §11 §11 15+15 日內 §13 30+30 日內 §13 5 §12 §17 一、個人資料檔案名稱。 個資遭竊、洩漏 主動通知 事項公開於電腦網站(公務) 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 6 實施細則將規定 §27 採行適當資料檔案之安全措施(防止竊取、竄改、毀損、滅失、洩漏) 7 8 事業主管機關頒行 個人資料檔案安全維護計畫 業務終止後個人資料處理方法 7
  • 9. 避開違法的十個步驟 1 個資資產盤點 2 個資行為盤點 3 告知函撰寫 4 出口管制 5 進行新蒐集個資管制制度 6 進行利用前管制制度 7 建立最小蒐集原則 8 進行資訊安全維護 9 進行委外管理 10 善盡管理人責任 • 個資管理表單導入與介紹 • Workshop 1: 實作蒐集個資管制制度 9
  • 10. 電子商務蒐集流程 選擇商品 性別 地址 喜好 加入會員 電話 email 第五十四條 本法修正 施行前非由當事人提供之 個人資料,依第九條規定 送貨資訊 收件人姓名 應於處理或利用前向當事 有時不同於 人為告知者,應自本法修 收件人地址 付款人 非直接蒐集之個資 正施行之日起一年內完成 發票資訊 告知,逾期未告知而處理 或利用者,以違反第九條 請款過程 信用卡資訊 規定論處。 分期資訊 信用卡紅利 10
  • 11. 電子商務蒐集流程 選擇商品 性別 地址 喜好 加入會員 電話 email 通常地告知時機? 送貨資訊 收件人姓名 有時不同於 這些有告知嗎? 收件人地址 付款人 發票資訊 非直接蒐集之個資 請款過程 信用卡資訊 分期資訊 這些有告知完整嗎? 信用卡紅利 11
  • 12. 電子商務蒐集流程- 軌跡資訊 選擇商品 另外你也蒐集了 以下的軌跡資料 性別 地址 喜好 購物歷史資訊 加入會員 瀏覽、興趣資訊 電話 IP Address email Cookies 瀏覽器的種類 送貨資訊 收件人姓名 網頁瀏覽時間 有時不同於 收件人地址 付款人 發票資訊 非直接蒐集之個資 收據簽收人資訊 請款過程 信用卡資訊 分期資訊 信用卡紅利 12
  • 13. 個資資產盤點– 個資法 17 條依法公開作業 13 Ref: http://www.dayes.tyc.edu.tw/modules/tadnews/index.php?op=dlfile&fsn=238&nsn=2172
  • 15. 盤點個資 • 人工、半人工方式(工具輔助) • 資料類別、使用單位 • 蒐集方式 以 Openfind 工具為例: Ref: 圖形來源: Openfind OES 產品說明 15
  • 16. 盤點個資 個資資料蒐集類別 其他資料欄位 資料蒐集方式 同意行使方式 個資行為模 資料類 no 服務/流程 系統 個人資料名稱 聯絡 聯絡 聯絡 式 型 身分 會員 網路 儲值 儲值 借書 討論區留 姓名 生日 方式- 方式- 方式- 其他 密碼 來源 方式 使否行使同意 行使方式 證號 代號 帳號 金額 記錄 紀錄 言 email 地址 電話 填寫會員申 1 會員卡登記 無 蒐集、處理 會員資料紙本 Paper v v v v v v 親自 v 書面同意 請書 2 會員登記 Member 蒐集、處理 會員資料 DB v v v v v v v 親自 櫃台輸入 填寫線上申 網路會員 3 網站會員登記 Web-Member 蒐集、處理 網站會員資料 DB v v v v v v 網路 v 請書 權益 預付金額 Book 處理 v v 4 借書 Book 處理 借書紀錄 DB v v v v v v v 5 還書 Book 處理 還書記錄 DB v v v v v v v 6 催書 Book 利用 催書報表 View v v v v v v v 7 催書報表列印 Book 利用 催書報表(列印) Paper v v v v v v v v v 8 統計報表 Report 處理 Monthly Report View v v v v v 9 行銷推廣 Promotion 利用 行銷電子報 DB v v v v v 10 聯合推廣 Promotion 利用 會員名錄 View v v v v v v v 資料蒐集方式 同意行使方式 保存方式 利用方式 使否行 合於同意之目 來源 方式 行使方式 地點 /主機 方式 利用行為 地點 使同意 的 親自 填寫會員申請書 v 書面同意 上鎖資料櫃 紙本 親自 櫃台輸入 DB1, BK1 SQL DB file 網路 填寫線上申請書 v 網路會員權益 DB1, BK1 SQL DB file DB1, BK2 SQL DB file 客戶管理 DB1, BK3 SQL DB file 客戶管理 DB1, BK4 SQL DB file 客戶管理 櫃台資料櫃 紙本 客戶管理 DB1, BK5 SQL DB file 客戶管理 DB1, BK6 SQL DB file 行銷至個人 內部 同意行銷 AP1 主機 email 檔案 行銷至個人 外部 未同意 16
  • 17. 個資行為盤點 • 作業流程分析 • 盤點蒐集來源、方式、管道 • 盤點現有利用方式 – 利用方式、利用對象、利用期間、利用地區 • 盤點個資處理方式 – 存放及保護方式 處理流程 資料流向 存取 • 盤點既有之個人資料檔案(技術性盤點) – 種類、項目、數量、期間、包括備份及其他備援資料庫 • 舉證證據盤點 – 告知內容、同意證明、權利行使證明 17
  • 18. 行為盤點 個資行為 內 個人資料流向(紀錄個資的流向,非使用的發起) 委 外 國 部 外 部 際 no 服務/流程 流 起點 作 利 傳 程 蒐 處 利 目的外 利用方式 對象 利用 行為行使/發起者 利用人/系統 個資檔案 個資檔案 業 用 輸 管道/系統/功能說明/證據 集 理 用 管道/媒介/程式/過程說明 終點 /組織 C-1 會員服務(等同買家) C1-1 加入會員 1 v 當事人 當事人輸入 加入會員 DB: Member T: User Basic https://member.aircamel.com.tw/register.php 1 Facebook 認證 2 v 當事人 消費者輸入 facebook 認證程式網頁 DB: Member T: User Auth v ? Facebook 會員登入 2 Google 驗證 3 v 當事人 消費者輸入 google 認證程式 DB: Member T: User Auth v ? 首頁 U-1 U1-1 email 認證(Active status) 4 v 系統 系統 DB: Member 寄出確認函 當事人 確認函 1 認證後畫面 5 認證後畫面 C1-2 會員中心-個人資料管理 6 v https://member.aircamel.com.tw/profile.php C1-3 會員認證狀態 7 https://member.aircamel.com.tw/certificate.php 1 身分證認證 8 v 當事人 https://member.aircamel.com.tw/ID_verify.php 利用所蒐集各資,至內政部 網站進行查驗換補發日期是 U-2 U2-1 驗證身分證補發日期 9 v 系統 系統 DB: Member T:User_Auth 否正確程式 parsing 內政部網 站 C1-4 手機驗證 10 當事人 當事人輸入 網頁 DB: Member T-User Basic https://member.aircamel.com.tw/mobile_verify1.php 驗證程式呼叫 API 後發出簡 當事人回填該 U2 U2-2 手機驗證 11 v 系統 系統 https://member.aircamel.com.tw/mobile_verify_adv1.ph 訊 code 回系統 C1-5 個人化設定 12 https://member.aircamel.com.tw/personalize.php C1-6 相簿及社交網址 13 https://member.aircamel.com.tw/SNS.php http://www.aircamel.com.tw/mystore/mystore_profile.p C-2 C2-1 開通我的店鋪設定 14 v p C-3 C3-1 升級認證(第二支手機) 15 v 系統 系統 驗證程式 當事人 C-2 賣家個資蒐集 C2-1 C-3 金流管理 C3-1 個人用戶申請 16 v 當事人 當事人 paynow_open_step1 Paynow v 18
  • 19. 告知函撰寫-告知時機 停止 蒐集 處理 利用 利用 刪除 1 2 3 直接蒐集 間接蒐集 於蒐集時告知 於處理或利用前告知 (第八條) (第九條) 4 間接蒐集 得於首次對當事人為利用時併同為之 (第九條) 19
  • 20. 施行細則: 告知方式 • 第十三條 依本法第八條、第九條及第五 十四條所定告知之方式,得以書面、電話 、傳真、電子文件或其他適當方式為之。 20
  • 21. QUESTION : 網站隱私權宣告? 合法? • 請問網站隱私權宣告有效嗎? 符合法定 要求(第八條)嗎? 21
  • 22. 傳統網站隱私權宣告的內容 • 本公司會善盡保管責任,做好資訊安全? • 本公司不會將你的個資分享給他人? • 當事人應保管自己帳號,如因帳號被盜用後果自 負? • 本公司將依據相關法令 保護您的個資? • …… • ….. 22
  • 23. 新法: 法條 §8 告知義務(直接蒐集) 第8條 公務機關或非公務機關依第十五條或第 十九條規定向當事人蒐集個人資料時,應明確告知 當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權 益之影響。 23
  • 24. 告知非公務機關名稱 (常見錯誤) • 告知網站名稱 – XX 購物網? • 告知行銷名稱 – 8-12 便利商店? • 告知產品、服務名稱 – ABC Searching Service ABC 搜尋服務 • 法律要求 告知非公務機關名稱,應以法定登記名稱為 主否則易造成困擾 – 無法辨識法定的非公務機關名稱 – 例如 同一服務但該服務的執行單位更換或易手的情形 • 這與 EV SSL 登記時須登記法定名稱的用意相同 24
  • 25. 新法: 法條 §8 告知義務(直接蒐集) 第8條 公務機關或非公務機關依第十五條或第 十九條規定向當事人蒐集個人資料時,應明確告知 當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權 益之影響。 25
  • 26. 特定目的 V.S. 蒐集之目的 • 第 5 條 個人資料之蒐集、處理或利用,應尊重當 事人之權益,依誠實及信用方法為之,不得逾越 特定目的之必要範圍,並應與蒐集之目的具有正 當合理之關聯。 • 請問法條第八條 要求告知的目的為? 特定目的? 還 是 蒐集之目的? 26
  • 27. 特定目的: 法定 電腦處理個人資料保護法之特定目的 (民國 85 年 08 月 07 日 公發布) • 代號 特定目的項目 • ○七三 經營郵政業務郵政儲匯保險業務 • ○○一 人身保險業務 (依保險法令規定辦理之人身保險相關業務) • ○○二 人事行政管理 • ○七四 經營電信業務與電信加值網路業務 • ○○三 土地行政 • ○七五 債權整貼現及收買 • ○○四 公立與私立慈善機構之目標 • ○七六 漁業行政、管理 • ○○五 公共衛生 • ○○六 公共關係 • ○七七 僱用服務管理 • ○○七 火災預防與控制 • ○七八 輔助性與後勤支援 • ○○八 戶政及戶口管理 • ○七九 學生資料管理 • ○○九 不動產服務 • ○一○ 公職人員財產申報業務 • ○八○ 徵信 • ○一一 立法或立法諮詢 • ○八一 學術研究 • ○一二 民政 • ○八二 選舉、罷免事務 • ○一三 代理與仲介之管理 • ○一四 犯罪預防、型事偵查、執行、矯正、保護處分或更生保護事 • ○八三 衛生行政 務 • ○八四 營建業之行政管理 • ○一五 外匯管理 • ○八五 輻射公害 • ○一六 生態保育 • ○一七 合法性審計 • ○八六 輻射防護 • ○一八 交通運輸 • ○八七 環境保護 • ○一九 刑案資料管理 • ○八八 糧食行政、管理 • ○二○ 存款與匯款業務管理 • ○二一 行銷 (不包括直銷至個人) • ○八九 保健醫療服務 • ○二二 行銷 (包括直銷至個人) • ○九○ 警政 • ○二三 有價證券之承銷、自營買賣或代客買賣業務管理 • ○九一 護照、簽證及文件證明處理 • ○二四 有價證券與有價證券持有人登記 • ○二五 住宅政策 • ○九二 觀光旅館業及旅行業管理業務 • ○二六 兵役行政 • ○九三 其他中央政府 • ○二七 社會行政 • ○九四 其他公共部門 • ○二八 社會服務或社會工作 • ○九五 其他司法行政業務 • ○九六 其他地方政府事務 • ○九七 其他合於營業登記項目或章程所定業務之需要 • ○九八 其他金融業務管理 • ○九九 其他財政收入 • 一○○ 其他財政服務 • 一○一 其他諮詢與顧問服務。 27
  • 28. 範例: 電子商務公司 特定目的: ○三七 客戶管理 姓名、身分證號 蒐集目的: 交易身分確認 蒐集 地址 蒐集目的: 寄送貨品 蒐集目的: 寄送會員生日禮,判斷是 處理 出生年月日 否滿二十歲 利用 第 5 條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及 信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正 當合理之關聯。 28
  • 29. 特定目的、蒐集目的比較 旅遊業 特定目的: ○三九 訂位、住宿登記與購票事項 蒐集目的: 保險登記、法定住宿登記事項 身分證字號: U120XXX120 銀行信用卡 特定目的: ○三八 信用卡或轉帳卡之管理 蒐集目的: 確認法定身分 教育訓練中心 特定目的: ○五三 教育或訓練行政 蒐集目的: 辦理公務人員終身學習點數登記 29
  • 30. 特定目的 V.S. 蒐集之目的 • 特定目的: – 蒐集個資的主要目的, – 從事的行業: 例如信用卡及轉帳卡管理、保健醫療服務。 – 從事的職務: 例如 人事行政管理、客戶管理、會員管理等。 – 像一個框框,蒐集、處理、利用不應超出 • 蒐集之目的 – 為法定應告知項目 – 蒐集個資的原因: 例如: 確認身分,核發血型信用卡等 – 常與蒐集之類別一併告知,例如蒐集您的電話號碼是方便在您中 獎時通知您前來領獎。 – 蒐集、處理、利用必須與蒐集之目的有合理的關聯。 30
  • 31. 告知函改寫 (1) • ○○電子商務網站為○○公司經營管理,為了確保消費者之個人資料及隱私 及消費者權益之保護,於交易過程中將使用消費者之個人資料,謹依個人資 料保護法第8條規定告知以下事項: 一、蒐集目的及方式 本公司之蒐集目的在於進行客戶管理、會員管理及行銷及內部的統計調查與分析 (法定特定目的項目編號為 037, 066, 022, 060)。蒐集方式將透過加入會員或 訂購單填寫方式進行個人資料之蒐集。 二、蒐集之個人資料類別 本公司於網站內蒐集的個人資料包括 1.C001辨識個人者: 如消費者之姓名、地址、電話、電子郵件等資訊。 2.C002辨識財務者: 如信用卡或轉帳帳戶資訊。 3.C003政府資料中之辨識者: 如身分證字號或護照號碼(外國人)。 4.C011個人描述: 如性別、國籍、出生年月日。 5.C021家庭情形: 如婚姻狀況、有無子女等。 31
  • 32. 告知函改寫 (2) • 三、利用期間、地區、對象及方式 1. 期間: 本公司營運期間。 2. 地區: 消費者之個人資料將用於台灣地區。 3. 利用對象及方式: 消費者之個人資料蒐集除用於本公司之會員管理、客戶管理之檢索 查詢等功能外將有以下利用 4. 用於物品寄送: 於交寄相關商品時將消費者個人資料利用於交付給相關物流、郵寄廠 商用於物品寄送之目的。 5. 用於金融交易及授權: 消費者所提供之財務相關資訊,將於金融交易過程(如信用卡授 權、轉帳)時提交給金融機構以完成金融交易。 6. 行銷: 本公司將利用消費者之地址及郵件、電話號碼進行本公司或合作廠商商品之宣 傳行銷。 • 四、消費者個人資料之權利: 消費者交付本公司個人資料者,依個資法得行使以下權利 1. 查詢或請求閱覽。 2. 請求製給複製本。 3. 請求補充或更正。 4. 請求停止蒐集、處理或利用。 5. 請求刪除。 消費者可來電洽詢本公司客服進行申請。 32
  • 33. 出口管制 • 內部利用(處理)、外部利用 • 驚動當事人 – Email、 信件、簡訊、電話聯絡….. • 公告、列印、出版 • 檢討接觸當事人的 – 與原告之蒐集目的是否相符 – 聯絡方式(郵寄標籤、平信寄送?、簡訊標題?具名 ?...) • 黑白名單 33
  • 34. 上網陳情個資曝光 政府部門創公務機關 侵害隱私判賠罕例 •據媒體報導,一名於2007年退役的教官,因某單位薪資給付 短少1天,故於隔年陳情至總統信箱,再移至某單位處理, 但該部卻將這位教官的陳情書連同姓名,公布在官方網站的 常見問題中。當事人認為其隱私權遭侵害,故請求國賠,台 北地方法院日前判賠新台幣5,000元,創下公務機關侵害隱 私判賠的罕見案例。 34
  • 35. 不當利用會員資料 某學會洩三千筆會員個資 • 2010年 06月15日 【投訴組╱台北報導】台灣某資訊管理學會印製的會員手冊 ,所附的通訊錄竟列出三千多筆會員的身分證字號,令會 員傻眼,直呼「太惡劣!」台灣某資訊管理學會表示,過 去都這麼做,不過接獲會員反映不妥後,已銷毀庫存的百 餘本手冊,並要求領到的會員妥善保管。律師指出,會員 若因資料外洩造成損失,可向學會提出民事求償。 • Ref: 蘋果日報 http://tw.nextmedia.com/applenews/article/art_id/32585809/IssueID/20100615 35
  • 36. 役男質疑履歷洩個資 某部、某會否認 • 2011/07/22 08:48:56 瀏覽56|回應0|推薦0 〔自由時 報記者曾韋禎、廖千瑩、蘇永耀∕台北報導〕為協助屆退 官兵順利轉入職場,某部和某會等部會長期合作舉辦就業 博覽會,但有役男質疑個資遭外洩,對此某部指出,今年 首度上軍網登錄,並由y某求職網得標,服務成效創下歷 年紀錄,雙方按合約辦理,無洩漏個資之嫌。 • 某立委召開記者會指出,有役男向他陳情,退伍前被迫填 寫履歷,之後卻收到來自某的簡訊,役男個資疑遭某部出 賣。 • Ref:- udn部落格 http://blog.udn.com/benlais/5454705#ixzz1ZrU3fVLi 36
  • 37. 請問下面狀況要賠多少? 地址: 新北市 251 登輝大道一號 收件人: 黃甲乙 59/04/24 37 37
  • 38. 信封印生日 某某運動用品遭控洩個資 • 在大台北地區相當著名的「某某運動用品世界」,上月寄給當月壽星會員生日賀卡, 因信封名條印著會員生日,引起林姓會員不滿,抗議個資外洩,並向消保官申訴。 • 消保官周先生昨天邀兩造協商,林先生調擔心個資外洩遭歹徒利用,對業者提多項和 解條件都無法安心,致協商破裂。周先生說,生日確屬個人資料,但業者是善意,尚 不構成違反個人資料保護法裁罰要件,已勒令業者立即改善。 • 某某運動用品世界林經理說,自上月接獲林先生抗議後,本月起已不在會員名條上印 出生日。 已有20多年歷史的某某運動用品世界,在大台北地區有12家分店,擁有一萬 餘名會員,當月壽星可到各分店享有一次不限消費額七折優惠。 • 林先生投訴指出,去年9月到三重店消費滿5000元成為會員,今年6月接到壽星賀卡, 名條上卻印出他的生日。很擔心投在信箱的賀卡資料遭歹徒盜走,向他父母行騙。 • 林先生說,他四度致電店家,店家應允處理,仍無對策,林經理說,接獲抗議向林先 生道歉,也贈送著名品牌的運動禮盒致意,但被退回。昨天協商時,他提出以1000元 補償4次電話費用、送2000元運動商品,也願意書面允諾日後若因此次生日資料造成林 先生損失,公司願負賠償責任,都不被接受。此事令他有點無奈,但仍須尊重消費者 的意見。 • 周繼雄說,由於林先生非常擔心生日資料外洩產生後遺症,卻始終提不出具體和解條 件,已請林先生必要時提民事求償。 38
  • 39. 某銀行非法利用個資 • 某商業銀行將註記為不同意共同行銷之客戶交易資料逕行 提供某客服科技(股)公司辦理保險電話行銷乙案,核有違 反金融控股公司法第43條第2項規定,依同法第60條第1項 第13款規定核處罰鍰新臺幣200萬元。 • 一、貴行提供某客服科技(股)公司辦理保險商品電話行銷 業務之資料中,包含15,496筆不同意共同行銷之客戶資料 ;經抽查其中多筆資料均包含客戶交易資料,違反金融控 股公司法第43條第2項金融控股公司之子公司間共同使用 客戶資料時,其交易資料應先經客戶書面同意之規定。 Ref: http://www.fscey.gov.tw/Layout/main_ch/News_NewsContent.aspx?NewsID=43373&LanguageTy pe=1&path=1738 39
  • 40. 平信寄出 • 【投訴組╱台北報導】蔡先生投訴,他用傳真約定書方式 向某銀行申請信用卡代繳電信費,因資料不全遭退件,中 信銀卻用平信方式將資料寄還給他,由於約定書上有他卡 號及身分證字號等個人資料,他認為太不安全。 該銀行稱,信封已密封,客戶的個資不會因此外洩。消基 會董事李先生認為,卡號、身分證字號、簽名等屬於重要 個資,銀行至少以掛號方式寄還申請書,較為謹慎。 蔡先生說,11月中,他收到某行銀平信方式寄給他的郵件 ,拆封後發現竟是他傳真給銀行的信用卡代繳費用約定書 Ref: http://tw.nextmedia.com/applenews/article/art_id/30063755/IssueID/20071212 2011 40 40
  • 41. 進行新蒐集個資管制制度(1) 新資料蒐集前檢核申請表(範本) 申請日期 2012 年 1 月 1 日 申請內容 蒐集目的 辦理參訪及研習 蒐集類別 (格式 項目: 法定類別編號) C001 C003 C023 C088 特定目的 1. 001 2. 053 3. 039 特定目的與本公司業務相關性說明: 本校代辦住宿、平 安保險 法源依據及法律要求 (請注意確認為法律規定,行政命令),如有公文請列為附 說明(例如: 最小保 件 存時間) 法律名稱: 條文: 公文名稱: 蒐集格式 紙本 電子檔(活動報名系統轉出資料) 41
  • 42. 進行新蒐集個資管制制度(2) 個資保存時間 活動報名及舉行期間 個資保存方式 紙本 電子檔(活動報名系統轉出資料) 預計利用方式(期 1. 100/7/10~100/7/15 檢查是否合於 間、地區、方式) 2. 國內 特定目的: (由 3. 辦理保險、訂房、核發研習證明 法務室填寫) 資料蒐集方式 直接蒐集 如為間接蒐集 間接蒐集資料來源:______________________________ 來源分類:商業資料庫公開可取得來源其他____ 間接蒐集資料來源合法性檢 查:___________________________ 42
  • 43. 進行利用前管制制度 • 設計利用前管理制度 利用方式 依法須告知者填寫 與告知之蒐集之目的 與告知之利用方式相 合於特定目的之必 利用行為說明 合於法定義務 關聯(免告知者免填) 符合(免告知者免填) 要範圍 43
  • 44. 設計特地目的外利用前管制 特定目的外利用 目的之必 書面同意方式 書面同意單獨為之 特定目的外利用說明 告知利用目的說明 告知之範圍 告知方式 範圍 (書面/電子文件?) 證據 44
  • 45. 建立最小蒐集原則 • 最小蒐集則說明 – 僅依照蒐集目的必須之最小資料進行蒐集 – 執行業務所必須 – 蒐集之效益與保存的成本 – 具備替代性方案 – 超出最小蒐集原則之以蒐集資料應進行刪除或 停止處理或利用 45
  • 46. 進行資訊安全維護 • 第九條 本法所稱適當安全維護措施、安全維護事項或適當之安全措 施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、 滅失或洩漏,採取技術上及組織上之必要措施。前項必要措施,應包 括下列事項: 一、成立管理組織,配置相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。 七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、必要之使用紀錄、軌跡資料及證據之保存。 十一、個人資料安全維護之整體持續改善。第一項必要措施,以所須支出之 費用與所欲達成之個人資料保護目的符合適當比例者為限。" 46
  • 47. Google什麼都搜, 耶魯大學43000筆個資恐外洩 •Google從去年九月開始,搜尋引擎開始將檔案傳輸伺服器 (FTP)內容納入,耶魯校方沒有對此調整相關設定,導致內 容包含姓名與美國社會局安全號碼的資料文件遭Google搜尋 引擎納入。 •耶魯大學表示,該校43000名校友的姓名與美國社會安全號 碼,去年九月起遭Google搜尋連結而暴露在網路中長達十個 月,耶也大學直到6/30才發現並刪除該文件,Google也已經 移除該連結。 •今年將有諸多措施以提昇耶魯校內資訊安全,包含與Google 有更緊密的聯繫。耶魯大學今年九月份開始,將校內的電子 郵件系統外包給Google。 47
  • 48. 合法使用者為企業機密資料的主要外洩管道 • 美國CSI (Computer Security Institute) 的調查 數據 – 70% 內部合法使用者造成 – 39% 員工曾經將客戶資料寄出 – 52% 曾在離職時帶走工作資料 – 86% 習慣性將郵件轉寄他人 48
  • 49. 2008 年日本個資洩漏分析 Ref: 2008 Information Security Incident Survey Report, JNSA 49
  • 50. 管理系統 V.S. 資安技術機制 • 駭客入侵手法 – RSA 員工被誘導開啟惡意信件…. • 駭客能力 – Google, Apple, RSA, Sony… • 單單依靠技術機制防禦並不足以防範 • 除了技術機制, ISO27001 標準重視 – 預防型的控制措施 – 多重層次的安全管控 – 從事故、事件中快速學習修正 50
  • 51. 資訊安全控管機制 預防型 管理機制 監督、舉證 技 防火牆、防毒牆 防毒軟體 AD Server, VPN CAM, CCD Log Server 術 IPS, IDS, WAF Token, OTP Mail Archive 解 Spam mail 加密機制 Switch/Router 門禁管理 網路側錄 Layer 7 monitoring EIM, DLP 流量監督管理 政策、程序、表單、紀錄 管 禁用 USB, P2P, 3G, Wireless, MSN, Skype……… 理 密碼定期更換、密碼複雜度、密碼保護原則 解 資產管理、門禁管理、資產攜出入管理 郵件使用規範、機密分級、 人員安全、訓練、認知、能力管理…… 51
  • 52. 個資保護與資訊安全 資料蒐集 資料處理 資料利用 資料儲存 行銷 資料傳輸 查詢 資料備份 統計 資料刪除 銷售 資 訊 安 全 人員安全 實體安全 存取安全 網路安全 AP 安全 52
  • 53. ISO 27001 -ISMS 11 個領域, 39個控制目標, 133個控制措施 管 5 管理責任 6 ISMS 內部稽核 4.2 建立與 理 4.3 文件化 5.2 管理承諾 系 管理 7. 管理階層審查 要求 5.2 資源管理 統 ISMS 5.2.2 教育 8. ISMS 持續改進 A.5 – 安全政策 A.6 –資訊安全的組織 A.7 – 資產管理 資 安 A.8 特 A.9 A.10 A.12 殊 人力資源安全 實體與環境安全 通訊與作業管理 資訊系統獲取、 控 開發及維護 制 A.11 –存取控制 項 A.13 –資訊安全事故管理 A.14 – 營運持續管理 A.15 –遵循性 53
  • 54. 進行委外管理 • 委託蒐集、處理、利用均屬委外作業 • 委外合約 • 委外監督的目的及作法 • 留存紀錄及管理監督之證據 54
  • 55. 台灣個資法 施行細則(草案)第八條 委外管理 •第八條 委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對 受託人為適當之監督。 •前項監督至少應包含下列事項: 一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 二、受託人就第九條第二項應採取之必要措施。 三、有複委託者,其約定之受託人。 四、受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通 知之事項及採行之補救措施。 五、委託人對受託人保留指示之事項。 六、委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資 料之刪除 •第一項之監督,委託人應定期確認受託人執行之狀況,並將確認結果記錄之 。受託人僅得於委託人指示之範圍內,蒐集、處理或利用個人資料。受託人 認委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通 知委託人。 55
  • 56. 善盡管理人責任 進 要求管理項目 行 積 溝通 / 告知 極 各 的 項 確認具備執行能力 預 存 監督/ 審查 防 證 措 矯正/ 指示 施 56
  • 58. 個資管理表單導入與介紹 1-5 當事人同意行使管理 1 個資蒐集管理程序書 1.5.1 書面同意管理 1.5.2 電子文件同意方式管理 1-1 特定目的管理程序 1.5.3 契約或類契約方式管理 1.5.4 當事人自行公開或合法管道管理 1.1.1 訂定組織特定目的 1.5.5 其他同意方式管理 1.1.2 規範員工遵循組織宣告之特定目的 1.5.6 同意證據之保存管理 1.1.3 公告特定目的(公務機關) 1.1.4 告知當事人組織之特定目的(非強制) 1-6 利用方式、對象、地區、期間說明 1-2 蒐集之目的管理 利用方式管理 1.2.1 訂定蒐集之目的 利用對象管理 1.2.2 告知當事人組織蒐集之目的 利用地區管理 1.2.3 規範員工遵循組織宣告之蒐集之目的 利用期間管理 1-3 蒐集資料類別管理 超出利用方式宣告後的告知與同意要求 1.3.1 最小蒐集原則管理 1-7 蒐集個資與當事人權益管理 1.3.2 蒐集類別告知方式說明 1.3.3 線上蒐集作業時的隱含蒐集類別管理 因不提供個資而影響當事人權益 因不提供個資而無法申請服務之管理 1.3.4 軌跡資料蒐集告知 消費者保護法與各資蒐集 1-4 告知當事人管理程序 告知當事人方式 1.4.1 直接蒐集告知管理 1.4.2 間接蒐集告知管理 1-8 超出宣告範圍蒐集、處理、利用管理程序 1.4.3 網路蒐集告知管理 超出特定目的後管理程序 1.4.4 使用語音/電話告知管理 超出蒐集之目的後管理程序 1.4.5 首次行銷利用告知管理 超出已告知利用方式後管理程序 1.4.6 特定目的外利用告知 1-9 第三方取得/間接蒐集個資管理程序 1.4.7 使用電子文件告知管理 間接取得告知 1.4.8 告知證據之保存管理 第三方擁有個資合法性檢查 第三方交付個資合法性檢查 58 間接蒐集告知當事人方式管理
  • 59. 個資管理表單導入與介紹 F-1-001 個人資料蒐集申請表 表單 F-1-002 個人資料交換或取得申請表 表單 T-1-001 書面告知文件範本 範本 T-1-002 網路/電子文件告知文件範本 範本 T-1-003 電話方式文件告知範本(話術稿) 範本 T-1-004 網路隱私權宣告範本 範本 59
  • 60. Workshop 1: 建立管理程序 • 方式: 小組討論,產出小組結果。 • 目的說明: 協助學員透過管理系統建議建立 管理程序。 • 任務說明: – 請依照案例(或自訂案例)建立其個資蒐集前管 理程序(包括流程及負責人員)或查檢表。 • 產出: (Word 或 Power Point 格式) – (1)請產出新資料蒐集前管理程序或查檢表。 60
  • 61. Q&A 61