誠品、iRent接連個資外洩,修法後最重罰1500萬!
2023年到現在,台灣已經發生至少15起資安事件,像是:華航的電商平台發生異常後傳出會員資料遭竊、微風廣場收到匿名勒贖信件後客戶資料外洩、威秀影城發生顧客個資外洩、宏碁資訊委外權限遭竊導致產品資料外洩……。究竟有沒有實際規範能加以約束?一次又一次引起了爭議。
立法院在本月16日三讀通過《個人資料保護法》部分條文修正案,針對近期多家企業發生的個資外洩事件提出舉措。
《個人資料保護法》修法兩大重點
- 修正個資法第48條非公務機關違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命改正,並提高罰鍰上限,處新臺幣(下同)2萬元以上200萬元以下罰鍰,若是情節重大者,處15萬元以上1,500萬元以下罰鍰。屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰。
- 第二,增訂個資法第1條之1規定,由個人資料保護委員會擔任個資法主管機關。行政院將積極推動設置個資保護獨立監督機關,以呼應去年8月12日憲法法庭第13號判決,要求3年內完成個資保護獨立監督機制之意旨,解決目前個資法分散式管理下之實務監管問題,並與國際趨勢接軌。
國發會表示,本次藉由修正裁罰方式及額度,以回應各界普遍反映業者違反安全維護義務罰責過低,且「先命改正」後處罰的方式,無法督促業者強化個資的資安維護。
KPMG:還要補強2項關鍵因素
國發會表示,本次修法將有助於促使非公務機關投入人力、技術及成本,落實保護民眾個人資料之責任,並有助於行政院打擊詐欺相關政策推動。
KPMG安侯企業管理(股)公司董事總經理謝昀澤回應,本次修法針對一般民間企業對消費者的個資管理,採取「提高金額處罰」、「檢查違規就罰」,及「按次連續處罰」這3個方向,並且指定「個人資料保護委員會」為個資法主管機關,彰顯政府對業者「主動監理」的時刻來臨。
但除了修法外,要降低近期個資外洩連環爆的危機,還需要包含「業者有效的個資保護落地措施」、「民眾的資安意識」等2項關鍵因素,才能成功拆彈。
謝昀澤分析,近期暴雷的多起個資外洩事件,雖個案原因尚待調查,但一般業者常見的疏失不脫人員、系統與流程3大層面,例如系統漏洞遭到利用、防火牆及其他雲端服務安全設定錯誤、內部管理人員或委外廠商疏失、遭社交工程入侵電腦等。近期就有網路服務業者將客戶的個人資料放在雲端,卻未妥善設置權限控管,導致不需要駭客技術的一般人,只要點選連結位址,就可以將雲端資料庫的機敏個資一覽無遺,即是一個最明顯的管理疏失案例。
個資外洩「暴雷」事件頻傳,業者怎麼防?
實務上,業者為了因應未來主管機關高強度的主動稽查,謝昀澤認為,企業除基本的防毒防駭系統外,可考慮導入資料盜失防護(DLP)等進階機制,並確實監控資料庫活動,以便及時發現異常存取行為與網路流量。管理流程上,建議依據主管機關個人資料檔案安全維護計畫,並參考國際與國內資安標準,如ISO27001(資安管理制度)、ISO27701(隱私保護制度)等規範要求,訂定兼顧數位應用需求且合於個資保護要求的措施,讓駭客或其他有心人士「進不來」企業內部、「看不懂」機敏資訊,更「帶不走」客戶資料,以高標準來管理客戶資料。
特別針對近期外洩熱區產業,如網路電商、旅宿觀光、交通等業者,更需要積極備戰。
退稅季、旅遊季都是「詐騙旺季」,民眾應提高警覺
謝昀澤也提醒民眾,個人的個資保護意識,也是影響自身隱私的重大關鍵。消費者應隨時提高警覺,未經確認不任意提供資料、不開啟來路不明的電子郵件及附加檔案、不登入未經確認的陌生網站,以避免社交工程的攻擊傷害。
總歸而言,個人心中應適當保持警惕。近期各式的詐騙手法不但充滿專業性、多樣性,且非常貼近生活與時事,如每年的退稅季、旅遊季,或特定商品的熱銷季等,都是詐騙集團的大忙季,民眾應多關注165反詐騙網站所提供的最新詐騙宣導資訊。
至於消費者個資外洩,是否可以求償?KPMG安侯法律事務所合夥律師鍾典晏說明,以2017年發生EZ訂(EZding)購票平臺個資外洩一案為例,被害人向該平台提告,包含被騙損失的新台幣25萬多元,以及個資法第29條規定的新台幣2萬元賠償,還有個資外洩帶來的精神慰撫金新台幣5萬元。該案經二審判定用戶遭詐欺侵權行為的損害賠償,也應付起7成責任,而最終裁定賠償新台幣18萬3,274元。
鍾典晏特別提醒業者,未來如發生相關事件,業者所受裁罰尚包含修法後,主管機關另行處罰的高額罰款,企業對消費者個資的保護程度,應該立即精進。