個資法專欄/公然利誘泄個資 已觸個資法不自知
千防萬防,家賊難防。前年曾發生一起張姓男子傳真詐騙事件,多家飯店收到詐騙傳真:「只要收集一組個人資料可賺1000元,一組個人資料必須有的資訊爲:姓名、身分證字號、出生年月日、地址加上信用卡卡號、有效期限和末3碼」,竊取客人的個資後,供張嫌盜刷購買3C產品,再低價轉賣圖利,累計獲利約100多萬元,共有20多名持卡人受害。」宜蘭某飯店的23歲員工被捕後坦承,他替客人刷卡時,利用數位相機拍下信用卡卡號,再記下信用卡背面的末3碼,連同客人的姓名、身分證字號、出生年月日E-mail給張姓嫌犯。
以上述案例來看,若是企業中也發生同樣事件,依照個資法第二十九條第一項規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限」。沒有妥善的處理這些紙本文件及電子檔案中的個人資料,經營者或是負責人員都可能必須負起民事、刑事和行政責任,依個資法規定,違規「蒐集」或「利用」個資,最重可處五年有期徒刑」。而罰鍰也不再是輕如鴻毛,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣500元以上20,000元以下計算。因此不論你企業內主管還是員工,都不能忽視「個資法」所帶來的影響。
優碩資訊科技文件保護專家解忠翰表示:「個資法要求民營企業及公務機關必須訂定個資安全維護計劃,採取適當的個資保護措施,善盡個資保管責任。如果內部及委外個資檔案沒有受到適當的保護,造成個資外泄事件發生,泄密單位及個資相關負責人可能都會被告,並遭受到高額罰款或法律刑責。應該怎麼做,才能在碰到個資法的時候保護自己?一般企業其實都希望找到一套省錢快速又有效的方法來防治個資外泄,除了完善PDCA 機制,即規劃 (Plan)、執行 (Do)、查覈 (Check)、行動及改進 (Action)之外,做好個資盤點、稽覈紀錄管理、利用DLP/DRM技術將文件加密保護。再來就是實施教育訓練,讓員工能夠明白的瞭解個資法對自身和公司的衝擊。市面上已經有相當多的資安廠商推出各種不同的個資文件保護方案,各機關可以鎖定對自己性價比、C/P 值高的來採用。」