怪怪的個資法

大綱

•一大堆個資外洩案例

•個資法重點

•個資法問題

一大堆個資外洩案例

2012/11/22 遠銀個資外洩(I)

2012/11/22 遠銀個資外洩(II)

2012/11/22 遠銀個資外洩(III)

2012/11/22 遠銀個資外洩(IV)

Yes123 驚傳個資外洩

2011/12/4 紅陽科技 交易資料外洩

Google隨便找的個資

身分證字號 通訊地址 filetype:xls

財務資料??

filetype:xls site:com.tw 國民身分證

20120130 六百多份保單掉滿地

20120305 二手硬碟藏個資

14

20120210駭客入侵富士康並公布帳密資料

15

2012 01 30 駭客入侵 Zappos外洩2,400萬筆個資

2011 南韓3500萬筆個資外洩

2012 韓國個資法判例 100萬韓圜開罰

個資到處外洩

Dropbox 用戶個資外洩(2012 08 02)

20120713 雅虎 45萬筆帳密外洩

20120716假客服真詐騙 Lativ客遭騙440萬

20120221

玉山銀行個資外洩案

玉山銀行個資外洩案

•時間: 2010 04

•洩漏方式: 網路銀行網站 安全漏洞

•洩漏資料筆數: 16001 筆

•洩漏資訊種類: 姓名、出生年月日、身分證字號

• 金管會以 「未落實資安控管」，罰玉山銀行四百萬元。

玉山銀行個資外洩案

•個資法–§ 12

• 公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

–§ 28

• 如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。

• 違反§12: 將會用§48 “，屆期未改正者，按次處新臺幣二萬元以上二十萬元”

• 違反§28: 玉山銀行需賠償8百萬到2億

中信局(台銀)個資外洩案

中信局(台銀)個資外洩案

•目前(099000436中央信託局個資外洩案調查報告對外公布.pdf)

– 臺銀本次銷毀文件縱不屬檔案法所規定之檔案，其對於文件之管理亦有未盡確實之情形，應予檢討改進

– 金管會依銀行法第61 條之1第1 項規定，糾正臺銀

– 「臺灣銀行各種表冊保存年限表編製說明」第6點規定未落實

中信局(台銀)個資外洩案

• 個資法

– §12: 應查明後以適當方式通知當事人。

– §28: 五百元以上二萬元以下

– §54: 本法修正施行前非由當事人提供之個人資料，依第九條規定應於處理或利用前向當事人為告知者，應自本法修正施行之日起一年內完成告知，逾期未告知而處理或利用者，以違反第九條規定論處。

– §17:公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：

• 一、個人資料檔案名稱。

• 二、保有機關名稱及聯絡方式。

• 三、個人資料檔案保有之依據及特定目的。

• 四、個人資料之類別。

• 檔案法

• 銀行法

台新銀行洩漏邱義仁個資案

台新銀行洩漏邱義仁個資案

•目前

–以妨礙電腦使用罪判刑6個月

•個資法

–§ 41

• 足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。

• 意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

–§ 28: 五百元以上二萬元以下 (20萬筆)

2013.02.22 台灣諾基亞委外網站資訊遭到入侵公佈 17 萬筆消費者資訊

個資保險上路

個人資料保護法說明

個人資料保護法背景

•前身

–電腦處理個人資料保護法(84年)

•立法時程

–99年4月27日, 立法院通過三讀

–99年5月26日, 總統公告

–共有六章五十六法條

–法務部訂定施行細則–2010年6月17日開始全國公聽會(延期)–2011年10月27日法務部公布個人資料保護法施行細則修

正草案預告–2012年10月1日施行

個人資料保護法中的個資定義

姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、、聯絡方式、財務情況、社會活動

醫療、基因、性生活、健康檢查、犯罪前科

可以收集的部份 不可收集的部份

及其他得以直接或間接方式識別該個人之資料。

蒐集個人資料時，應明確告知

•一、公務機關或非公務機關名稱。

•二、蒐集之目的。

•三、個人資料之類別。

•四、個人資料利用之期間、地區、對象及方式。

•五、當事人依第三條規定得行使之權利及方式。

•六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。

權利

當事人可以要求的權利

•一、查詢或請求閱覽。 (15日 + 15日), 可收成本費用

•二、請求製給複製本。 (15日 + 15日), 可收成本費用

•三、請求補充或更正。 (30日+ 30日)

•四、請求停止蒐集、處理或利用。 (30日+ 30日)

•五、請求刪除。 (30日 + 30日)

☆不得預先拋棄或以特約限制☆

資料保護原則 (公務機關部份)

•公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、損毀、減失或洩漏。

39

公務機關 個人資料檔案 指定專人

竊取竄改

損毀

減失

洩漏

損害填補機制

•非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。§29-1

• 公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。§28-1

•損害賠償總額，以每人每一事件新臺幣500元以上2萬元以下計算。但能證明其所受之損害額高於該金額者，不在此限。§28

•對於同一原因事實造成多數當事人權利受侵害之

事項公開

• 第十七條公務機關應將下列事項公開於電腦網站，或以其他適當方式供公眾查閱；其有變更者，亦同：

• 一、個人資料檔案名稱。

• 二、保有機關名稱及聯絡方式。

• 三、個人資料檔案保有之依據及特定目的。

• 四、個人資料之類別。

資料外洩後要主動通知

•第十二條公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

新版個資法的影響

•個資外洩負責人與相關人員 要罰錢

–一筆個資罰 500 到 20000元

–總賠償上限是 2億元

•販賣個資要抓去關

–五年以下有期徒刑

•防護不周, 經檢查不通過也要罰錢

–每次罰 2萬元 到 20萬元或5萬元 到 50萬元

新版個資法的影響

•個資不再限制電子資料內

–電子資料: 資料庫, 簡訊, e-mail, 光碟片等等

–非電子資料: 手寫的, 列印的等等

•個資外洩時, 要求單位或個人必須舉證說明並非自己過失

–舉不出自己沒有疏失, 就罰你

個資法施行細則修訂重點

委託人之監督責任(一)

• 第七條 受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。

• 第八條委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。

– 前項監督至少應包含下列事項：

– 一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

– 二、受託者就第十二條第二項採取之措施。

– 三、有複委託者，其約定之受託者。

– 四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通知之事項及採行之補救措施。

委託人之監督責任（二）

– 五、委託機關如對受託者有保留指示者，其保留指示之事項。

– 六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持有之個人資料之刪除。

• 第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。

• 受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者，應立即通知委託機關。

無法識別特定當事人

• 第三條– 本法第二條第一款所稱得以間接方式識別，指保有該

資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。

• 第十七條– 本法第九條第二項第四款、第十六條但書第五款、第

十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人，指個人資料以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人。

適當方式通知當事人

• 個資法第十二條

– 公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

• 細則第二十二條

– 本法第十二條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。

– 依本法第十二條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。

適當安全維護措施

•細則第十二條 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。

適當安全維護措施

• 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：– 一、配置管理之人員及相當資源。

– 二、界定個人資料之範圍。

– 三、個人資料之風險評估及管理機制。

– 四、事故之預防、通報及應變機制。

– 五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。

– 七、認知宣導及教育訓練。

– 八、設備安全管理。

– 九、資料安全稽核機制。

– 十、使用紀錄、軌跡資料及證據保存。

– 十一、個人資料安全維護之整體持續改善。

問題

數聯資安

廢光碟片回收!???

數聯資安

衍生議題

•收廢紙的阿伯

•收舊硬碟的廠商

•我的郵筒內的隔壁妹妹的消費帳單

•在交通工具上聽到大聲公告自己電話/住址/生日的大聲婆, 又很不小心的把它錄下來

•樓下大門的斷電公告通知書

•…………..

數聯資安

案例: 百貨公司讓客戶滑倒仍需負責

• 新聞：王女與友人到嘉義市的知名遠x百貨公司逛街時不小

心滑倒，造成右腳小趾骨折及膝蓋擦傷，王女與遠x百貨公司雙方和解不成，使得王女提出告訴，檢方認為百貨公司未做好止滑措施等安全規範，導致發生意外，日前依業務過失傷害罪嫌起訴負責現場管理劉x元

•假新聞:

王女於知名電子商物購物網站訂購物品後三小時, 即有詐騙集團打電話冒充客服人員謊稱訂單分期付款設定有誤而前去ATM轉帳損失30萬元.王女提出告訴, 檢方認為張姓程式設計師未做好程式安全問題, 導致發生詐騙, 依個資法過失起訴張姓程式設計師

數聯資安

案例之法律說明

• 法律教室：按刑法上所謂業務，仍指個人基於其社會地位持續、繼續而為反

覆執行之事務，包括主要業務及其附隨之準備工作與輔助事務在內，且此附隨之事務，必須與其主要業務有直接、密切相關性者，方得認定為業務概念（最高法院92年度台上字第4751號判決意旨參照）。上述遠x百貨襄理仍為現場負責管理、監督之人，對於不特人於該場所行走之際，仍必須提供安全的環境及場所，並有設置安全警告標示之警語之必要，加上百貨公司時有女性穿著高跟鞋，故對於經營者及現場負責人更應加注意其動線安全，應注意而未注意，實有刑法第14條過失之虞。王女於遠x百貨逛街時，因其室內動線及安全設計不良，以致她滑倒並受有傷害及骨折，故得按同法284條後段業務過失傷害罪，予以起訴現場負責管理人劉男。至於，未來承審法院是否會認定刑事有罪或無罪，則需靜觀其變。

數聯資安

過失責任

•我國個資法採取「過失責任」– 企業主對於資料外洩的結果有故意或過失，就必須要負責任。

故意

刑法第十三條第一項規定：「行為人對於構成犯罪之事實，明知並有意使其發生者，為故意。」

刑法第十三條第二項規定：「行為人對於構成犯罪之事實，預見其發生而其發生並不違背其本意者，以故意論。」

間接故意

直接故意

數聯資安

過失(刑法14條)

過失

有認識過失

無認識過失

行為人對於構成犯罪之事實，雖預見其能發生而確信其不發生

行為人雖非故意，但按其情節應注意，並能注意，而不注意。

數聯資安

有認識過失

• 某公司執行了原始碼掃描, 發現一個高風險漏洞, 資安專家建議立即修補這個漏洞, 以免駭客入侵系統偷取資料 ( 預見其發生 )

• 但公司程式人員認為不會有這麼厲害的人可以用這個漏洞來入侵系統( 確信其不發生 ), 而廠商也無法實作漏洞攻擊成功. 因此最後決議不修補

• 不幸的是, 大陸駭客果然入侵成功並偷走全部資料

行為人對於構成犯罪之事實，雖預見其能發生而確信其不發生

數聯資安

無認識過失

• 對於資訊安全,

• 老闆要強調公司所有員工都要注意資訊安全 ( 應注意 ) ,

• 也有經費購買資訊安全設備或服務 ( 能注意 ) ,

• 但是工程師卻因為麻煩而沒有使用這個資安設備或服務( 不注意 ) ,

• 結果讓個資外洩, 這樣就是「無認識過失」

行為人雖非故意，但按其情節應注意，並能注意，而不注意。

數聯資安

FarDowSee單位的個資流向

資料庫

網站

合作廠商或藥商

物流

廣告商

EDM

書面信件

簡訊

報表系統統計報表

列印測試

上級單位

廢紙包早餐

個資輸入

民眾

郵件伺服器

MSN八卦

笑話轉寄

數聯資安

技術稽核

•目的

–防止駭客或不肖員工偷走個資

–法庭訴訟的免罪舉證

•重點

–駭客進不來

–個資偷不走

–個資看不懂

–個資流向能追蹤(細則的軌跡記錄)

–個資存取有記錄(細則的存取記錄)

數聯資安

駭客進不來

•說明

–沒有弱點, 就沒有資安風險

–把駭客擋在外面, 個資就不會被偷走

•相關技術或產品

–弱點掃描(網路型 + 網頁型)與弱點管理

–入侵防護

–網站防護

–滲透測試

–防毒牆

風險風險 = = 弱點弱點((脆弱性脆弱性) x ) x 威脅威脅 x x 資產價值資產價值

數聯資安

個資偷不走

•說明

–就算駭客已經在內部了, 個資也送不出去

•相關技術或產品

–NAC

–DLP

–Content Filter

–惡意連線偵測與阻斷系統

數聯資安

個資看不懂

•說明

–駭客看到的個資是不完全的, 或是滿足法條的非個資

•相關技術或產品

–個資遮罩(web mask, db mask)

–個資加密(encryption)

–個資混淆

–去身份化(de-identify)

–個資匿名化(anonymous)

數聯資安

個資流向能追蹤

•說明

–滿足個資法有關個善盡保管責任的要求

•相關技術或產品

–DLP

–個資標記追蹤

–個資DRM(個資數位版權化管理)

數聯資安

個資存取有記錄

•說明

–滿足施行細則的存取記錄

–法庭舉證用途

•相關技術或產品

–網路側錄

–應用程式存取記錄(AP Access log)

–集中式log (log server)

數聯資安

Q & A