【個資保護成為企業無法迴避的挑戰】企業因個資外洩受罰也是資安重訊
近年個資外洩事件的發生,屢屢成為社會新聞矚目焦點,過去一年來,上市櫃公司在重大訊息也開始揭露這方面的資訊,而部分公司因此遭罰的狀況也浮上檯面
對於2023年企業資安事件頻傳的現況,在關注勒索軟體駭客鎖定上市櫃公司攻擊,正持續造成更多的危害之餘,另一個企業同樣要正視的風險,是個資曝險、機敏資料與個資外洩的發生,現在對國內普遍企業已經帶來更多的影響。
在近年詐騙橫行之下,個資外洩早已受到社會大眾的廣泛關注,像是詐騙份子可以清楚說出民眾訂單的狀況,屢屢登上社會新聞版面。如今我們注意到,這些事件若出自上市櫃公司,他們也開始發布這類重大訊息公告,我們總共發現有6起這方面的事故。
更不容企業忽視的是,不只個資相關的重大訊息2023年更常見,最近幾個月以來,我們接連看到上市櫃公司發布的公告很特別,因當中說明因違反個人資料保護法(個資法)受主管機關開罰,這一現象的出現,突顯企業經營層需更重視個資保護。
個資外洩消息不斷受媒體關注,近一年也登上重訊版面
先來看看2023年臺灣上市櫃公司在證交所公開資訊觀測站發出的重訊,哪些與個資曝險,或個資及資料外洩有關?
首先,關於個資曝險的事件,有兩起均發生在2月。先是和泰汽車發布重訊,這篇公告的標題是「澄清自由時報報導」,說明旗下和雲行動服務公司的個資曝險問題已改正;接下來,還有裕融的重訊發布,標題是「針對媒體報導提出說明」,當中描述格上汽車租賃公司的個資曝險問題,已經及時因應。
在資料與個資外洩方面,華航揭露資料外洩事件,該公司在2023年1月先是發出說明媒體報導的重訊,以回應會員資料被公開在國外論壇的情形, 2月他們再次發布重訊,揭露了先前事件已有新的後續發展,說明查出委外電商平臺系統連線異常,並公布確切影響範圍,有5千多筆會員資料遭擷取。
3月宏碁發布相關重訊,內容是針對印度售後服務系統遭駭事件,以針對媒體報導方式說明,公布該公司的具體調查結果,指出是因為商業夥伴密碼保存與管理不當,因此造成產品維修等內部資料外洩。
5月誠品發布重訊,是針對疑似個資外洩的事件,以回應媒體報導方式說明。該公司主要針對許多網購民眾接獲詐騙電話,且詐騙方清楚民眾的訂單內容一事,表示將配合數位發通知前往說明。
從上述的重訊發布來看,儘管不容易從標題看出與資安議題相關,需要各界進一步的檢視與關切後續發展,不過,比起過去重大訊息少有說明這方面的消息,有廠商願意公布這方面的狀況,已有很大的差異。
3家上市櫃公司因個資外洩,受個資法與銀行法裁罰
對於企業而言,不只需要留意2023年個資相關重訊的增加,還有一個新的轉變需要重視,那就是:出現企業因個資外洩事件遭主管機關裁罰,並且發布重大訊息的情形。
最近我們整理到數起案例,由於這些都是先前資安事件發生的後續,因此,多數企業可能還沒注意到此一態勢。
為何我們這麼說?2023年臺灣上市櫃公司遭網路攻擊的資安事件重大訊息,總共有17個,特別的是,其中兩起事件,我們發現其實與該公司後續的重大訊息有關,而且是涉及個資法的裁罰;有一起事件也相當特殊,發生在金融業,也與個資外洩有關,但主管機關是依銀行法處置。例如:
(一)諾貝兒在10月公告遭受網路駭客攻擊事件,經過3個禮拜,該公司發布另一則重大訊息:「公告本公司接獲高雄市政府裁處書罰鍰乙案」,說明該公司違反個人資料保護法第27條規定,依同法第48條規定,遭高雄市政府處以15萬元罰鍰。
(二)雄獅在11月公告遭受駭客網路攻擊,到了2024年1月,該公司發布了另一則重大訊息:「公告本公司受交通部裁罰案之說明」,當中指出兩個月前遭駭客網路攻擊,導致發生該次資安事件,並受到交通部依違反個人資料保護法第27條第1項,處以200萬元罰鍰。
(三)上海商銀在11月發布受金管會裁罰的重訊,內容乍看未涉及資安事件,但在同一日在金管會召開的例行記者會,恰巧提出這方面的清楚說明。金管會當時表明,是針對該銀行客戶資料外洩所涉缺失,依據違反銀行法第129條第七款,處以1千萬元罰鍰,並要求4大監理事項。因此,這起重訊事件,其實也與個資外洩情事有關。而且,對於受高度監管的金融業,其主管機關金管會可運用的資源與規範,也明顯更多。
企業需重視2023年個資法修法,裁罰金額與方式已經改變
由於過去上市櫃公司的重大訊息發布,我們很少看到這方面的資安事件,但2023年後的變化卻是如此明顯,這背後的原因是什麼?雖然大家可能已經注意到去年個資法修法,還有個資保護委員會將要成立,但這些動向對企業又呈現出何種意義?
對此問題,關注個資法遵議題超過十年的達文西個資暨高科技法律事務所所長葉奇鑫表示,自從前幾年我國不斷傳出個資外洩與詐騙事件,如今政府對於個資保護的規範,是越來越嚴格。
對於2023年個資保護的態勢變化,他認為,從2022年下半年開始,整個個資保護的氛圍,就已經變得不同。不論是否為上市櫃公司,都會受到兩大監管壓力,一是中央目的事業主管機關,一是165反詐騙諮詢專線,如果是上市櫃公司,還會面對來自證交所、金管會的壓力。換言之,個資法的修正不僅影響上市櫃公司,也將影響普遍企業。
到了2023年5月個資法修法通過後,6月2日生效,更是帶來新的轉變。因為違反個資法的罰鍰從過去2萬到20萬元,修改為2萬到200萬元,情節重大者可處15萬元到1,500萬元。
而且,裁罰的方式也有變化,之前是要求限期改正、不一定會罰,現在是逕行處罰時同時命令改正,也就是「一定會罰」。這主要是因為政府展現積極打詐的決心,將這些機制涵蓋於打詐5法。
從這一年來的臺灣個資外洩開罰的狀況來看,可以印證這個觀點。例如,數位部產業署在2023年5月,就曾針對蝦皮開罰,該公司個資保護程序沒做好,委外廠商未落實監督管理等,且屆期仍未改正,甚至態度惡劣,被開罰當時最高的20萬元。
到了2024年1月,雄獅因兩個月前遭駭事件,被交通部依個資法開罰200萬元。之所以罰鍰增加,就是因為個資法裁罰金額與方式改變,至於重罰的原因,我們推測可能與該公司是近年第二次遭駭有關。
單就上市櫃公司而言,我們還發現,先前數位部產業署在2023年5月也曾針對誠品生活開罰,到了下半年,我們則是看到諾貝兒、雄獅發布遭個資法裁罰的重大訊息。相較之下,之前誠品發生這類狀況時,並未發布這方面的重訊,顯然,現在這方面的資訊揭露,將開始成為業界常態。
不僅如此,企業需體認到一件事:現在需要更明確的揭露個資外洩事件。
最近我們注意到,在2024年1月,上市運動休閒業者柏文發布的重大訊息,公告了旗下健身工廠會員個資遭駭客竊取事件的說明,雖然這發生在2023年7月,但在重訊標題上,已經清楚寫明本次事件與個資遭竊有關。
此外,我們發現證交所最近有修訂規範。在2024年1月18日公布的新版「重大訊息發布應注意事項參考問答集」,首度明確規範資安事件的「重大性」標準,包括:公司的核心資通系統、官方網站或機密文件檔案資料等,遭駭客攻擊或入侵(包括遭入侵、破壞、竄改、刪除、加密、竊取、DDoS等),致無法營運或正常提供服務,或有個資外洩的情事等。即屬造成公司重大損害或影響。言下之意,涉及個資外洩的資安事件,確實已經明訂要發布重大訊息。
對於我們觀察到的這些現況變化,葉奇鑫指出,2023年只是開始,當企業看到越來越多同業揭露曾遭遇駭客攻擊、以及揭露因個資法被罰,會更明確感受網路攻擊的風險,察覺法規已有變化。
一年後個資保護委員會即將成立,屆時個資規範與要求還會再升級
為了讓大家更清楚個資保護規範的態勢,葉奇鑫針對近年我國個資保護的重要變化,提出詳細說明。
自2021年8月開始,行政院決議成立行政機關落實個人資料保護執行聯繫會議,到了2022年7月,行政院訂頒「新世代打擊詐欺策略行動綱領」,此後一旦公司發生個資事故,就必需通報主管機關,然後主管機管要通報國發會與資安主管機關,還要副知中央主管機關(行政院),若是大型事件,更是會親自召開會議出來管。
換言之,從2022下半年開始,建立這個標準流程之後,變成每件個資事故都不會逃過政府的監管。這也意味著,未來個資保護將成為企業更大的挑戰,其原因就是:政府開始加重打詐的力道,立法院也通過這方面的修法。
而2023年新版個資法的推出,對於企業而言,有兩點需要特別重視。
首先,第1條之1,增訂「個人資料保護委員會」為個資法主管機關,此事的源頭是111年憲判字第13號,大法官要求要設立個資保護專責機關機制,也就是專責機關。如今,這個備受外界關注的個資保護委員會,已在最近2023年12月成立籌備處。
其次,第48條,針對違反安全維護義務,修正了裁罰的上限與方式,改為應處2萬元到200萬元的罰鍰,情節重大者更是可處15萬元到1,500萬元,並且是逕行處罰時同時命令改正。相較之下,過去這方面的最高罰鍰,只有20萬元,而且僅要求限期改正,且不一定會罰。
葉奇鑫提醒,未來的個資規範與要求還會再升級。這是因為,個資保護委員會組織法的通過,預計是在2024年底或2025年第一季,也就是說,之後就會設立成為正式機關。屆時,個資法裁罰將會邁入下一篇章。不像過往一直沒有專業且獨立的主責機關,而且個資法也勢必將迎來第3次大修法。
過去沒做好個資保護的準備,如今企業不能再無視
從最近的企業因個資外洩遭罰案例,我們可以發現存在裁罰機關不同的情形,像是雄獅是受交通部裁罰,諾貝兒是受高雄市政府裁罰,因此,不全然是中央目的事業主管機關。
對此,葉奇鑫認為,就目前現況來看,的確會有管轄重疊的狀況,這可能需要政府縱向與橫向的溝通協調。畢竟,不論地方政府或中央目的事業主管機關,兩者同樣有這方面的權限,而一家公司如果跨不同產業,也可能受不同主管機關所管轄。這的確是未來政府監管上,需要注意的問題。
但對於企業而言,重點是不要以為只是外洩用戶的個資、事不關己,因為,現在已有上市櫃公司遭個資法裁罰200萬元的情形。
葉奇鑫認為,光是注意其他公司受個資法開罰這件事,就是好的開始。因為很多企業不知道2023個資法已經修法。
「只有知道規範現況,才能更主動因應。」葉奇鑫強調,普遍企業因為還沒出事,所以可能沒有感覺,但是,現在只要一發生這類狀況,企業若是仍沒有準備,就會遭受很大的衝擊。
這是因為,現在針對個資外洩事件,政府的行政檢查都是整套在進行,還會有附帶檢查,也就是不僅止於這次事件所發現的問題,還會針對公司整體個資保護、資安盤查。以瞭解公司在事件中應負起的責任,進而決定輕罰與重罰。
換言之,如果企業平常沒有做好個資保護,不論是程序書、管理規定、個資盤點,當事件爆發、企業在面對行政檢查時,往往連這些基本文件都繳交不出來,此時面臨重罰的可能性自然更高。
雙管齊下!政府祭出行政裁罰與行政規範,也提供相關實作指引手冊
最後我們要提醒大家的是,企業不只面對上述個資保護行政裁罰,還需留意各產業也有對應的行政規範需遵循。
這是因為,針對不同產業,各部會將制定個人資料檔案安全維護管理辦法,若企業違反規定,政府同樣可以開罰。
這部分最受矚目的焦點是,近年國內電商個資外洩情形越來越嚴重,因此,數位發展部2023年10月依據個資法第27條第3項規定,訂定「數位經濟相關產業個人資料檔案安全維護管理辦法」,要求訂定安全維護計畫,並可派員到場實施個資檢查。若業者違反這項辦法,最重將開罰1500萬元。
而受此項規範約束的產業,不只涵蓋綜合性電商,還有軟體出版業、其他資訊服務業,以及第三方支付服務業等。
值得企業關注的是,這些個資維護管理辦法,其實涵蓋了多種產業。換言之,不是只有電商相關業者要重視。
舉例來說,以個人資料檔案安全維護管理辦法而言,針對的產業還有很多,單以近期來看,還包括:綜合商品零售業,製造業及技術服務業等眾多產業。
另一方面,有些企業可能仍不知如何保護個資,對此國內主管機關也打算出手幫忙,正在制定相關實作指引文件,引導企業落實。
例如,為了幫助電商業者落實個資保護,數位部在12月釋出指引手冊:「有關電商業者落實數位經濟相關產業個人資料檔案安全維護管理辦法參考指引」,讓缺乏這方面認知的企業,至少能有一份可依循的資訊,以落實個資保護與管理。而從參考指引來看,也可看出不僅是電商業者,也有針對資訊服務業(資訊服務業落實個人資料保護暨資訊安全參考指引)、網路連線遊戲事業(網路連線遊戲事業落實數位經濟相關產業個人資料檔案安全維護管理辦法參考指引)等的指引。
綜觀上述態勢,不論上市櫃公司、所有不同產業的公司,對於提升個資保護的能力,不論是從管理面、技術面,都不能像過去一樣,毫無任何作為。
個資保護法制不再空轉,法制專業人力逐漸到位
企業不是不知道個資保護的重要性,因為個資法從2012年實施以來,應該已經引發大家對這方面議題的重視與討論,但由於多年來幾乎看不到相關事件的裁罰,使得只有少數企業願意主動做好個資保護,不少企業仍在觀望、態度消極。
之所以早期少有個資法裁罰,我們認為,這很可能與相關配套不夠健全有關,不只是缺乏個資主責機關,也缺乏充足的專業人力。
據我們瞭解,現在已有很大的改變。例如,過去在法務部時代,負責個資法法制的人力,其實只有3個科員與1個科長,而且這組人馬其實同時負責8個法,個資法只是其中之一。
而近年國發會接手之後,就國發會的法制協調處而言,在10個負責的人員當中,就有超過半數具備個資法專業能力。
而根據去年12月行政院發布的相關消息指出,光是個資保護委員會籌備處的初期編制,就有36人,整體編制的員額更高達89名。
可以想見的是,日後企業面對個資外洩事件時,政府在法制面推動工作的專業人力能量大增,那時將完全不可同日而語。
換言之,以後企業組織面對個資外洩事件,就可能面臨30多位負責個資法法制人力的局勢,而不是只有4個人在兼辦。
個資保護不力更成企業營運風險!企業除了關注上市櫃公司因資料外洩受裁罰,以及2023年個資法修正,更要注意的是,個資保護委員會籌備處已在2023年12月揭牌,屆時個資規範與要求裁罰還會更升級。圖片來源/行政院
美國政府與企業如何強化個資防護?
在關注臺灣上市櫃公司遭個資法裁罰之餘,我們也持續注意國際這類監管議題的態勢。以美國為例,當地企業向美國緬因州檢察長辦公室通報事件,使得事件調查報告曝光於外界,因此我們可以發現,這些公司除了通知受影響的用戶,還會提供一年免費信用監控與身分竊盜保護服務,顯然與臺灣相比有很大的不同。
對此,葉奇鑫表示,美國在一些法制面上很特殊,像是檢察長可以代表全州州民對企業提出資料外洩相關的民事訴訟,因為當地有這個制度,企業就會面臨很大的訴訟風險,甚至可以看到上百億的求償,因此會對企業經營帶來相當大的壓力。
相對而言,臺灣這方面的訴訟風氣並不興盛,這也使得上市櫃企業經常認為,事件發生對實質財務風險不高,這是臺灣可以改進的部分。
但他也指出,國內在某些方面其實已有進步,像是當發生資安事故時,需要提交事件調查報告,主管機關的報告也要通報至國發會(或未來的個資保護委員會),審完才會結案,因此管控程序已經建立,只是事件調查報告沒有對外揭露;關於通知受個資外洩事件影響用戶,現在也有嚴格規定,需要依照政府機關提供的公版發送通知,當中需寫明被駭客攻擊及說明如何因應。