個資法衝擊下企業對資安風險、管理與稽核的因應之道 · 個資法衝擊下...

個資法衝擊下個資法衝擊下個資法衝擊下個資法衝擊下企業對資安風險、管理企業對資安風險、管理企業對資安風險、管理企業對資安風險、管理與稽核的因應之道與稽核的因應之道與稽核的因應之道與稽核的因應之道

勤業眾信聯合會計師事務所勤業眾信聯合會計師事務所勤業眾信聯合會計師事務所勤業眾信聯合會計師事務所企業風險管理企業風險管理企業風險管理企業風險管理

2010.06

©2010 勤業眾信版權所有保留一切權利

Why ?! 個人資料保護法修訂緣起個人資料保護法修訂緣起個人資料保護法修訂緣起個人資料保護法修訂緣起

2

常出事的單位不在管轄範圍

詐騙的手法日新月異

資料外洩犯罪事件起訴成功率不高

無法獲得機關組織的重視成為治理議題


個人資料保護法修法進程個人資料保護法修法進程個人資料保護法修法進程個人資料保護法修法進程

影響修法之關係部會影響修法之關係部會影響修法之關係部會影響修法之關係部會

3

(1)法務部訂定實施細則及二份行政命令(約需6~8個月)

(2)行政院審核(約需2～3個月)

2011：(預計年中) 細則公布

2010：04/20 個人資料保護法二讀通過2010：04/27 個人資料保護法三讀通過2010：05/26 總統公布個人資料保護法

2010：06/07 法務部舉辦個人資料保護法施行細則修法公聽會

1995：08/11 公布電腦處理個人資料保護法

2008：10/23 國民黨謝國樑委員等提案2008：10/27 民進黨柯建銘委員等提案

預計尚有預計尚有預計尚有預計尚有12-18個月的個月的個月的個月的

前置準備期前置準備期前置準備期前置準備期


What (1)?!新版個人資料保護法修正的重要立法意旨新版個人資料保護法修正的重要立法意旨新版個人資料保護法修正的重要立法意旨新版個人資料保護法修正的重要立法意旨

4

1. 擴大保護客體：擴大保護客體：擴大保護客體：擴大保護客體：

刪除行業別之限制解決以往只有列入受管理的政府機關與8種民間產業的不合理情況

納入人工資料解決以往資料外洩只要不及於電腦處理，即不適用或無罪之怪現象

2. 普遍適用主體：普遍適用主體：普遍適用主體：普遍適用主體：

限制蒐集特種資料、規範書面同意方、增課告知義務告知義務告知義務告知義務、放寬查詢權利、限制任意行銷 ,不遵行規範的行政裁罰不遵行規範的行政裁罰不遵行規範的行政裁罰不遵行規範的行政裁罰3. 增修行為規範：增修行為規範：增修行為規範：增修行為規範：

中央目的事業主管機關或地方政府得強制檢查強制檢查強制檢查強制檢查、處分或處罰解決因為普遍適用主體後，管制單位的模糊，並將資料保護的查察措施，擴及非司法警察機構

4. 強化行政監督：強化行政監督：強化行政監督：強化行政監督：

個人資料保護法個人資料保護法個人資料保護法個人資料保護法 3讀版讀版讀版讀版

建立團體訴訟機制對於管理與求償或資料保護實務的進展，納入民間監督與求償，冀能提高全民重視與普及

5. 促進民眾參與：促進民眾參與：促進民眾參與：促進民眾參與：

加重刑事責任及擴大適用範圍、提高民事損害賠償總額限制、提高行政罰緩並課以負責人負責人負責人負責人監督責任, 舉證責任倒置舉證責任倒置舉證責任倒置舉證責任倒置6. 調整責任內涵：調整責任內涵：調整責任內涵：調整責任內涵：


What (2)? 影響個人資料保護法律責任的兩個主要法令影響個人資料保護法律責任的兩個主要法令影響個人資料保護法律責任的兩個主要法令影響個人資料保護法律責任的兩個主要法令

5

•個人資料保護法•消費者保護法 ( 5條, 7條)

個人資料的權利是憲法上的人格權與資訊自決權

1. 實際訴訟判例!!!2. 過渡期的可能作法


Targets :個人資料之定義個人資料之定義個人資料之定義個人資料之定義

6

指以任何方式取得個人資料(包含直接或間接)

指為建立或利用個人資料檔案註所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送

蒐集

處理

利用指將蒐集之個人資料為處理以外之使用

與個人資料相關的活動

國際傳輸

指將個人資料作跨國(境)之處理或利用

註：個人資料檔案指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。

個人資料係指自然人之…

�施行細則未公布前，本專案仍採用目前在電腦處理個人資料保護法中訂定的個人資料類別為參考來源。


Behaviors:個人資料之生命循環個人資料之生命循環個人資料之生命循環個人資料之生命循環

7

Use

Storage

Archive

Sharing

儲存(Storage)

處理/ 利用(Use)

傳遞/分享(Sharing)

使用/檢索(Archive)

銷毀(Destruction)

/ 外洩告知

收集/ 取得(Acquisition)

個人資料生命循環

•新增•修改•刪除•查詢

蒐集

記錄

輸入

儲存

編輯

更正

複製

檢索

刪除

輸出

連結

內部傳送

利用

國際傳輸


Definition :何謂個人資料外洩何謂個人資料外洩何謂個人資料外洩何謂個人資料外洩

� 個人資料之使用與移動，由預期的狀態，轉為不適當或未經授權之非預期狀態，通常都被視為風險或是對組織有負面之衝擊。

88


Situations :個人資料外洩常發生的時機個人資料外洩常發生的時機個人資料外洩常發生的時機個人資料外洩常發生的時機…

9

造成資料外洩的環境

資料處理,

交易處理之活動資料彙集或銷毀

開發人員得以取存營運

系統

委外單位委外單位委外單位委外單位 (高風險高風險高風險高風險)資料庫資料

與電信通訊

媒體/傳遞與使用

�在整體環境中，存在各式各樣資料外洩的可能性。

組織同仁組織同仁組織同仁組織同仁活動活動活動活動

資訊部門資訊部門資訊部門資訊部門活動活動活動活動

Business Unit 活動活動活動活動總務單位總務單位總務單位總務單位

活動活動活動活動

主管部門主管部門主管部門主管部門須負責須負責須負責須負責

根據警調單位分析根據警調單位分析根據警調單位分析根據警調單位分析, 國內目前的個資外洩

國內目前的個資外洩國內目前的個資外洩國內目前的個資外洩,七成以七成以七成以七成以

上來自於具備合理權限使用者之不當與疏忽使用



上來自於具備合理權限使用者之不當與疏忽使用,

使得使得使得使得:

1.傳統針對非法活動的監控機制無法生效

傳統針對非法活動的監控機制無法生效



2.數位鑑識無法及時到位還原真相

數位鑑識無法及時到位還原真相



3.成為成為成為成為Enterprise Espiona

ge


Dilemma :企業面對個人資料保護法實施可能之困境企業面對個人資料保護法實施可能之困境企業面對個人資料保護法實施可能之困境企業面對個人資料保護法實施可能之困境

10

8.難提出善良管理證據

面對個資外洩訴訟或爭

議時，如何提供善良管

理證據？

1.被動的隱私保護意識

多數的單位主管對資訊

外洩議題感到焦慮，潛

意識認為資料外洩時，

才得要去面對。

3.無法確認法令遵循度

無法確認目前法令要求

對各單位的影響

(Impact)。

6.資源有限，資料無限

單位主管想有效地保護

個人資料，但「資源有

限，資料無限」，如何

才能有效地保護重要資

料？

5.角色權責與存取權限不明

無法確認含有PII的資訊

系統角色權責與存取權

限是否合適。

7.難以瞭解可能的衝擊

無法確認是否已對個人

資料提供相對應的保護

與控管並具以擬訂行動

方案。

4.無法盤點個人資料

各單位沒有辦法單獨盤

點營運流程內的個人資

料，亦不能明確辨識何

屬個人資料與確認清冊

2.被視為100%IT議題

個人資料保護議題被視

為一個IT的議題，而IT應

該能提供完全的解決方

案？


Impacts I: 處罰處罰處罰處罰 - no theories, only stories !!

11

� 花X銀行 : 停卡業務兩個月. 委外疏失不罰主管

� 台X銀行 : 累計罰款已800萬, 讓售證券業務核可處理暫緩

� 銀行局長官招集各銀行本周一於財金資訊公司密會, 協商公會版

網路銀行安全檢查事宜

� 第50條: 非公務機關之代表人、管理人代表人、管理人代表人、管理人代表人、管理人或其他有代表權人代表權人代表權人代表權人，因該

非公務機關依前三條規定受罰鍰處罰時，除能證明已盡防止義務防止義務防止義務防止義務

者外者外者外者外，應並受同一額度罰鍰之處罰應並受同一額度罰鍰之處罰應並受同一額度罰鍰之處罰應並受同一額度罰鍰之處罰。

罰錢也還好罰錢也還好罰錢也還好罰錢也還好, 最糟就徒刑

或關門了最糟就徒刑



或關門了.

• 25條第一款條第一款條第一款條第一款, 得禁止蒐集得禁止蒐集得禁止蒐集得禁止蒐集,處理處理處理處理, 使用個資使用個資使用個資使用個資

• 現有處理之個資刪除

現有處理之個資刪除




Impacts II : 自清自清自清自清

12

� 2010 2月 : 健保資料外洩 (2800萬筆)

� 2009 5月 : 5000萬筆個資 (已歸戶, 起訴中)

� 2008 3~6月 : 網路購物個資外洩

� 東X購 / Moxx

� Pxxome / PayXXXy

� Happy Xo Card

� 博客X書店 / 三X書店

� 物流業者

如何分辨如何分辨如何分辨如何分辨:

1. 已經遺失之資料為法

令失效前

已經遺失之資料為法令

失效前


失效前


失效前/後遺失後遺失後遺失後遺失 ?!

2. 資料遺失還要通知當

事人資料遺失還

要通知當事人

資料遺失還要通知當事

人資料遺失還

要通知當事人 (12條條條條)

3. 如何面對團體訴訟的

挑戰如何面對團

體訴訟的挑戰

如何面對團體訴訟的挑

戰如何面對團

體訴訟的挑戰?!

4. 資料委外與國際傳遞

之責任

資料委外與國際傳遞之

責任


責任


責任?!


How (1): 我國個人資料保護法與實作概觀我國個人資料保護法與實作概觀我國個人資料保護法與實作概觀我國個人資料保護法與實作概觀

13

個人資料之生命循環 BS10012:2009

APEC隱私權保護原則

…個人資料個人資料個人資料個人資料保護法保護法保護法保護法

參考並落實

最佳實務概念指引

� APEC隱私保護原則為亞太地區經濟體間及其貿易夥伴間對於隱私保護的遵循原則。� 個資法修正內容內，亦已將APEC隱私保護原則的9項原則落實於條文內容之中。

第一份個人資料保護標準於2009年6月2日公布，該標準的目的在建立個人資料保護的最佳實務與協助組織符合個人資料保護法的規範。

依個人資料之生命循環為概念，進行各環節的安全控管，以提供完整的個資保護架構。


How(2)：個資法：個資法：個資法：個資法 vs. APEC隱私保護原則隱私保護原則隱私保護原則隱私保護原則 vs. BS 10012 + ISO 27001

(法務部所稱以法務部所稱以法務部所稱以法務部所稱以PDCA方式管理個人資料方式管理個人資料方式管理個人資料方式管理個人資料)

14

APEC隱私保護9原則個人資料保護法

預防損害原則

告知原則

蒐集限制原則

個人資料利用原則

當事人自主原則

個人資料完整性原則

安全管理原則

查閱及更正原則

責任原則

§12,18,27~40

§7,8,9

§6,15,19,53

§5,16,20

§3,10,11,13

§11

§27

§3,10,11,13,17

§21

§22,23,24,25,26行政檢查

刑罰 §41,42,43,44,45,46

行政罰 §47,48,49,50

4.1 責任的配置4.2 辨識及記錄個人資料的使用情

況4.3認知與教育訓練

4.4風險評鑑

4.5 PIMS的持續更新

4.6通告

4.7公正與合法的處理

4.8個人資料處理的目的

4.9適當、相關及不過度

4.10正確性

4.11保留及處置

4.12個人權利

4.13安全議題

4.14 將個人資料傳輸於EEA外

4.15 揭露予第三方

4.16轉包處理

4.17維護

BS10012

3 規劃個人資料管理系統

5監視與審查個人資料管理系統

6 改進個人資料管理系統

§2,4名詞解釋

§51,52,53,54,55,56附則

P

D

CA

Why ISO 27001 is not Enough, because of

APEC Guide is the essence of the new

Act.� 預防損害原

則

� 告知原則

� 蒐集限制原則

� 個人資料利用原則

� 當事人自主原則

� 個人資料完整性原則

� 安全管理原則

� 查閱及更正原則

� 責任原則


Compliance Strategy I : 強化個資保護機制之執行元素強化個資保護機制之執行元素強化個資保護機制之執行元素強化個資保護機制之執行元素

15

個人資料保護法

組織的隱私保護與

intension

供應商管理使用者權利資料生命週期資料內容

保護

對應執行所需內涵之呈現形式

實施細則特定目的個人資料類別行政命令行政命令

A systematic Approach

隱私衝擊分析(PIA)

分析業務活動資料熱點與關鍵環境

個人資料存取權責表

個人資料保護控管風險分析

選擇合適工具部署與監控

留存保護活動記錄與軌跡

數位鑑識與犯罪/舞弊偵防

PDCA

皆在訂定中


Branch Offices

Remote Employees

WAN

WAN

WWW

VPN

OutsourcedDevelopment

Enterprisee-mail

Business Analytics

Customer Portal

Production Data

Data warehouse

Staging

File Server

DR

Back up disk

Back up tape

Disk storage

Customers

Partners

DLP DAMEncryption Data Redaction Archive

Compliance Strategy II: 資料保護對應策略資料保護對應策略資料保護對應策略資料保護對應策略充分證明無故意或過失責任充分證明無故意或過失責任充分證明無故意或過失責任充分證明無故意或過失責任. 達成善良管理達成善良管理達成善良管理達成善良管理

16

� 設定隱私保護組織、政策、規範.

� 於資料處理流程中，佈建管控措施

� 執行監測控制

� 執行所需調查

Forensics & Fraud Investigation Service

� 於如何證明善良管理

�控制紀錄與軌跡

�鑑識還原真相與原貌


To Be : 個資保護企業應具備之良善管理能力及於當時的技術與管個資保護企業應具備之良善管理能力及於當時的技術與管個資保護企業應具備之良善管理能力及於當時的技術與管個資保護企業應具備之良善管理能力及於當時的技術與管

理水平理水平理水平理水平, 在舉證責任倒置的情形下在舉證責任倒置的情形下在舉證責任倒置的情形下在舉證責任倒置的情形下, 作為足資證明無故意過失責作為足資證明無故意過失責作為足資證明無故意過失責作為足資證明無故意過失責

任任任任持續監控與通報

• 監控與通報流程要成為日常營運常態，以免證據力的消失

• 視為企業級的活動• 須搭配符合法令的要項• 資料外露事件與鑑識實務與程序的必要性• 針對產品與服務及相關的系統與應用• 搭配內部稽核的防弊機制，以彰顯治理企圖

系統架構

• 個資的使用策略 (資料的邏輯與實體位置,集中與分散管理)

• 營運活動角度看待應用系統 (CRM、ERP、識別管理)

• 產品與服務的設計(設計與產品啟用的系統框架)

• 功能需求對資料保護的要求與技術規格• 系統開發與建置過程的資料使用• 系統變更管理的資料保護要求• 系統運作的品管 (委外、驗收、測試等)

文化轉換

• 儘可能成為治理的議題，使成為善良管理責任之實證

• 以企業階層的命令為之 (政策、程序、指南、案例、企業特有名詞)

• 成為企業價值觀的內涵 (適用評估)

• 動態文件的管理 (角色 / 活動基礎)

隱私策略

• 成為品牌策略之一• 搭配法規環境與要求推動• 包含在企業/資訊治理策略中• 成為企業級溝通計劃的要項• 要設定建立的發展藍圖

政策與程序重點

• 隱私 / 資訊安全保護計劃/規劃• 員工、客戶、合作夥伴的適用政策與程序(基於角色與活動)

• 上上策是將企業級的個資保護SOPs與法規對應

解決方案組合的設計

• 缺乏程序/政策的解決方案，將喪失證據力的推論

• 文化轉換• 系統架構• 發展藍圖(優先順序、資源、時程與相互關連性)

隱私保護架構

隱私分析

• 一致的名詞解釋• 以工具為基礎的架構

• 需求與保護的相對能力• 企業之隱私保護的需求判別 (為品牌?

法令、還是企業策略)

• 需求的合理化(不無限上綱, 但也不喪失焦點)

• 資料生命循環的資料/訊流分析• 此分析具備多元視野

• 企業、營運單位、地理區• 流程別、系統別或員工與客戶別• 風險為基礎的評估與差異分析• 風險排序• 選項的辨認

17

Always One Step Ahead.

©2010 勤業眾信版權所有保留一切權利Deloitte (“德勤”)泛指Deloitte Touche Tohmatsu (“德勤全球”，一依瑞士法律成立的組織 )及其會員所中的一或數者。“德勤全球”及其會員所，為法律上各自分離的個體，獨立就自身行為負責，對其他個體之行為不負任何責任。有關“德勤全球”及其會員所法律架構的詳細說明，請參見關於勤業眾信。

個資法衝擊下 企業對資安風險、管理 與稽核的因應之道 · 個資法衝擊下...

Documents

個資法衝擊下企業對資安風險、管理與稽核的因應之道 · 個資法衝擊下...