行政治理/黃勝雄 防駭大作戰 三點不漏
駭客攻擊無所不在,近期國內外企業都傳出企業遭駭、保存個資外洩的狀況。參與政府多項網路安全法規制定與資安審查的台灣網路資訊中心(TWNIC)董事長暨執行長黃勝雄指出,政府雖然可以採用個人資料保護法處罰個資外洩的廠商,但個資法對資安強度標準不明確、一味重罰反起爭議,建議觀察企業是否符合非惡意外洩資料、資安強度達到適足性、盡到告知與補救等義務,更能保障用戶個資安全。
觀察企業是否失職
黃勝雄指出,近期國內發生多起個資外洩或資安事件,數位部目前採用的法規是今年5月剛通過的新版個人資料保護法,以「嚴罰」的態度,罰金從2萬到200萬元不等,但依循的法令是個資法27條,要求「非公務機關保有個人資料檔案者,應採行適當之安全措施」,而所謂的適當安全措施,定義不夠清楚,容易產生爭論。
在國內企業發生重大資安問題或個資外洩時,TWNIC是政府機關經常徵詢的資安專業機構,黃勝雄指出,事件發生時有行政調查,在實務上會關注資料收集過程是否合法合規,是否獲得當事人同意,在技術面上會關注存取加密技術是否夠強。
他指出,現在駭客手法多變,企業防不勝防,以近期LINE母公司LY Corporation被駭客入侵、台灣有近百筆加密資料外洩的狀況,到底要不要處罰?
他認為未來企業個資外洩案件勢必還會發生,但可利用三項原則檢視未來通案狀況,首先是企業保存的個資外洩,企業是否惡意為之甚至從中獲利?這也是個資法的基本精神,就是「保障個資不被惡意利用」。
第二是觀察企業的資安強度是否達到一定的適足性。黃勝雄認為,資安沒有最好,永遠有改進空間,但不能因為沒有最好就被處罰,政府可以導入第三方機制觀察,例如是否符合國際標準ISO 27001或ISO 27701,至少證明企業有達到一定的國際水準。
第三是觀察業者當責態度,例如個資法規定發生個資外洩事件時,企業有通報義務,關注企業是否據實通報,以及後續是否立刻修補漏洞與補強。他強調,其實資安強度有一定的檢視標準,做到並不難,個資法關注的是資料處理問題,民眾最在意未來能否真正受到保障,企業應誠實通報,這是政府可關注的重點。
資料外洩應先通報
黃勝雄指出,雖然發生事件時企業有通報義務,但在他的經驗中很少看到主動通報的企業,其實新法剛通過,政府執行與企業遵法上都在調整,例如企業如果盡力去保管資料,發生問題後的義務應該先通報,急著重罰只會讓企業不敢通報相關問題。此外,企業個資外洩後要負責的對象是消費者,如果企業沒有惡意銷售資料圖利,屬於非惡意的資料外洩,政府重罰也可能引發行政訴訟。
黃勝雄說,個資外洩與資安問題其實是兩大領域,政府依個資法管理資安,法規上還有空白授權處,其實國際間如歐盟、新加坡都有相關的個資保護規範,例如歐盟的GDPR就認定企業符合ISO27001的規範,就達到一定的資安適足性,從國際案例來看,今年Facebook母公司META因把歐洲用戶資料傳輸至美國,被歐盟重罰13億美元,亞馬遜2021年被罰7.46億美元,都不是因為個資外洩,而是不當傳輸與違法收集個人資料,反而與企業資安無關。
▪ 小孩升國中!驚見雙敦學區「3房4500萬」 他愣:一定能上建中?
▪ 汐止17年社區單價飆72萬 專家揭房價狂漲「3原因」
▪ 美髮師月存10萬現金 買房不能貸8成!過來人曝2招解方
▪ 台北不用200萬、新北8字頭就封王 2024年新案還開不出震撼價
▪ 他好奇買房找人檢驗是常識嗎? 眾人見本意笑翻:那不叫驗屋
延伸閱讀
贊助廣告
商品推薦
udn討論區
- 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
- 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
- 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
- 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
FB留言