More Related Content
Similar to [CBLP] 個資法雙連發-怪怪的個資法-ox-20130225 (20)
More from Yi-Feng Tzeng (16)
[CBLP] 個資法雙連發-怪怪的個資法-ox-20130225
- 25. 玉山銀行個資外洩案
•個資法
–§ 12
• 公務機關或非公務機關違反本法規定,致個人資料
被竊取、洩漏、竄改或其他侵害者,應查明後以適
當方式通知當事人。
–§ 28
• 如被害人不易或不能證明其實際損害額時,得請求
法院依侵害情節,以每人每一事件新臺幣五百元以
上二萬元以下計算。
• 違反§12: 將會用§48 “,屆期未改正者,按次處新
臺幣二萬元以上二十萬元”
• 違反§28: 玉山銀行需賠償8百萬到2億
- 29. 中信局(台銀)個資外洩案
• 個資法
– §12: 應查明後以適當方式通知當事人。
– §28: 五百元以上二萬元以下
– §54: 本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理
或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知
,逾期未告知而處理或利用者,以違反第九條規定論處。
– §17:公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查
閱;其有變更者,亦同:
• 一、個人資料檔案名稱。
• 二、保有機關名稱及聯絡方式。
• 三、個人資料檔案保有之依據及特定目的。
• 四、個人資料之類別。
• 檔案法
• 銀行法
- 36. 個人資料保護法中的個資定義
可以收集的部份 不可收集的部份
姓名、
出生年月日、
國民身分證統一編號、
護照號碼、
特徵、 醫療、
指紋、 基因、
婚姻、 性生活、
家庭、 健康檢查、
教育、 犯罪前科
職業、
病歷、、
聯絡方式、
財務情況、
社會活動
及其他得以直接或間接方式識別該個人之資料。
- 38. 當事人可以要求的權利
•一、查詢或請求閱覽。 (15日 + 15日), 可收成本費
用
•二、請求製給複製本。 (15日 + 15日), 可收成本費
用
•三、請求補充或更正。 (30日+ 30日)
•四、請求停止蒐集、處理或利用。 (30日+ 30日)
•五、請求刪除。 (30日 + 30日)
☆不得預先拋棄或以特約限制☆
- 46. 委託人之監督責任(一)
• 第七條 受委託蒐集、處理或利用個人資料之法人、團體或自然人,依
委託機關應適用之規定為之。
• 第八條委託他人蒐集、處理或利用個人資料時,委託機關應對受託者
為適當之監督。
– 前項監督至少應包含下列事項:
– 一、預定蒐集、處理或利用個人資料之範圍、類別、
特定目的及其期間。
– 二、受託者就第十二條第二項採取之措施。
– 三、有複委託者,其約定之受託者。
– 四、受託者或其受僱人違反本法、其他個人資料保護
法律或其法規命令時,應向委託機關通知之事項及採
行之補救措施。
- 47. 委託人之監督責任(二)
– 五、委託機關如對受託者有保留指示者,其保留指示
之事項。
– 六、委託關係終止或解除時,個人資料載體之返還,
及受託者履行委託契約以儲存方式而持有之個人資料
之刪除。
• 第一項之監督,委託機關應定期確認受託者執行
之狀況,並將確認結果記錄之。
• 受託者僅得於委託機關指示之範圍內,蒐集、處
理或利用個人資料。受託者認委託機關之指示有
違反本法、其他個人資料保護法律或其法規命令
者,應立即通知委託機關。
- 48. 無法識別特定當事人
• 第三條
– 本法第二條第一款所稱得以間接方式識別,指保有該
資料之公務或非公務機關僅以該資料不能直接識別,
須與其他資料對照、組合、連結等,始能識別該特定
之個人。
• 第十七條
– 本法第九條第二項第四款、第十六條但書第五款、第
十九條第一項第四款及第二十條第一項但書第五款所
稱資料經過處理後或依其揭露方式無從識別特定當事
人,指個人資料以代碼、匿名、隱藏部分資料或其他
方式,無從辨識該特定個人。
- 49. 適當方式通知當事人
• 個資法第十二條
– 公務機關或非公務機關違反本法規定,致個人資料被
竊取、洩漏、竄改或其他侵害者,應查明後以適當方
式通知當事人。
• 細則第二十二條
– 本法第十二條所稱適當方式通知,指即時以言詞、書
面、電話、簡訊、電子郵件、傳真、電子文件或其他
足以使當事人知悉或可得知悉之方式為之。但需費過
鉅者,得斟酌技術之可行性及當事人隱私之保護,以
網際網路、新聞媒體或其他適當公開方式為之。
– 依本法第十二條規定通知當事人,其內容應包括個人
資料被侵害之事實及已採取之因應措施。
- 51. 適當安全維護措施
• 前項措施,得包括下列事項,並以與所欲達成之
個人資料保護目的間,具有適當比例為原則:
– 一、配置管理之人員及相當資源。
– 二、界定個人資料之範圍。
– 三、個人資料之風險評估及管理機制。
– 四、事故之預防、通報及應變機制。
– 五、個人資料蒐集、處理及利用之內部管理程序。六
、資料安全管理及人員管理。
– 七、認知宣導及教育訓練。
– 八、設備安全管理。
– 九、資料安全稽核機制。
– 十、使用紀錄、軌跡資料及證據保存。
– 十一、個人資料安全維護之整體持續改善。
- 54. 數聯資安
衍生議題
•收廢紙的阿伯
•收舊硬碟的廠商
•我的郵筒內的隔壁妹妹的消費帳單
•在交通工具上聽到大聲公告自己電話/住址/生日的
大聲婆, 又很不小心的把它錄下來
•樓下大門的斷電公告通知書
•…………..
- 55. 數聯資安
案例: 百貨公司讓客戶滑倒仍需負責
• 新聞:
王女與友人到嘉義市的知名遠x百貨公司逛街時不小
心滑倒,造成右腳小趾骨折及膝蓋擦傷,王女與遠x百貨
公司雙方和解不成,使得王女提出告訴,檢方認為百貨公
司未做好止滑措施等安全規範,導致發生意外,日前依業
務過失傷害罪嫌起訴負責現場管理劉x元
• 假新聞:
王女於知名電子商物購物網站訂購物品後三小時, 即
有詐騙集團打電話冒充客服人員謊稱訂單分期付款設
定有誤而前去ATM轉帳損失30萬元.王女提出告訴, 檢
方認為張姓程式設計師未做好程式安全問題, 導致發生
詐騙, 依個資法過失起訴張姓程式設計師
- 56. 數聯資安
案例之法律說明
• 法律教室:
按刑法上所謂業務,仍指個人基於其社會地位持續、繼續而為反
覆執行之事務,包括主要業務及其附隨之準備工作與輔助事務在內,
且此附隨之事務,必須與其主要業務有直接、密切相關性者,方得認
定為業務概念(最高法院92年度台上字第4751號判決意旨參照)。上
述遠x百貨襄理仍為現場負責管理、監督之人,對於不特人於該場所
行走之際,仍必須提供安全的環境及場所,並有設置安全警告標示之
警語之必要,加上百貨公司時有女性穿著高跟鞋,故對於經營者及現
場負責人更應加注意其動線安全,應注意而未注意,實有刑法第14條
過失之虞。王女於遠x百貨逛街時,因其室內動線及安全設計不良,
以致她滑倒並受有傷害及骨折,故得按同法284條後段業務過失傷害
罪,予以起訴現場負責管理人劉男。至於,未來承審法院是否會認定
刑事有罪或無罪,則需靜觀其變。
- 57. 數聯資安
過失責任
• 我國個資法採取「過失責任」
– 企業主對於資料外洩的結果有故意或過失,就必須要負責任。
刑法第十三條第一項規定:
「行為人對於構成犯罪之事實,明知並有意使其發生者,為故意。」
直接故意
故意
間接故意
刑法第十三條第二項規定:
「行為人對於構成犯罪之事實,預見其發生而其發生並不違背其本意者,以故意論。」
- 58. 數聯資安
過失(刑法14條)
有認識過失 行為人對於構成犯罪之事實,
雖預見其能發生而確信其不發生
過失
行為人雖非故意,
無認識過失 但按其情節應注意,並能注意,而不注意。
- 59. 數聯資安
有認識過失
• 某公司執行了原始碼掃描, 發現一個高風險漏洞, 資安專家建議立即修
補這個漏洞, 以免駭客入侵系統偷取資料 ( 預見其發生 )
• 但公司程式人員認為不會有這麼厲害的人可以用這個漏洞來入侵系統
( 確信其不發生 ), 而廠商也無法實作漏洞攻擊成功. 因此最後決議不修
補
• 不幸的是, 大陸駭客果然入侵成功並偷走全部資料
行為人對於構成犯罪之事實,
雖預見其能發生而確信其不發生
- 60. 數聯資安
無認識過失
• 對於資訊安全,
• 老闆要強調公司所有員工都要注意資訊安全 ( 應注意 ) ,
• 也有經費購買資訊安全設備或服務 ( 能注意 ) ,
• 但是工程師卻因為麻煩而沒有使用這個資安設備或服務( 不注意 ) ,
• 結果讓個資外洩, 這樣就是「無認識過失」
行為人雖非故意,
但按其情節應注意,並能注意,而不注意。
- 61. 數聯資安
FarDowSee單位的個資流向
上級單位
民眾
網站
統計報表 報表系統
物流
列印測試
合作廠商
或藥商
廢紙包早餐
EDM
資料庫
書面信件
廣告商
郵件伺服器 簡訊
個資輸入 笑話轉寄
MSN八卦
- 62. 數聯資安
技術稽核
• 目的
–防止駭客或不肖員工偷走個資
–法庭訴訟的免罪舉證
• 重點
–駭客進不來
–個資偷不走
–個資看不懂
–個資流向能追蹤(細則的軌跡記錄)
–個資存取有記錄(細則的存取記錄)
- 63. 數聯資安
駭客進不來
• 說明
–沒有弱點, 就沒有資安風險
–把駭客擋在外面, 個資就不會被偷走
• 相關技術或產品
–弱點掃描(網路型 + 網頁型)與弱點管理
–入侵防護
–網站防護
–滲透測試
–防毒牆
風險 = 弱點(脆弱性) x 威脅 x 資產價值
- 64. 數聯資安
個資偷不走
• 說明
–就算駭客已經在內部了, 個資也送不出去
• 相關技術或產品
–NAC
–DLP
–Content Filter
–惡意連線偵測與阻斷系統
- 65. 數聯資安
個資看不懂
• 說明
–駭客看到的個資是不完全的, 或是滿足法條的非個資
• 相關技術或產品
–個資遮罩(web mask, db mask)
–個資加密(encryption)
–個資混淆
–去身份化(de-identify)
–個資匿名化(anonymous)
- 66. 數聯資安
個資流向能追蹤
• 說明
–滿足個資法有關個善盡保管責任的要求
• 相關技術或產品
–DLP
–個資標記追蹤
–個資DRM(個資數位版權化管理)
- 67. 數聯資安
個資存取有記錄
• 說明
–滿足施行細則的存取記錄
–法庭舉證用途
• 相關技術或產品
–網路側錄
–應用程式存取記錄(AP Access log)
–集中式log (log server)