個資法專欄/紙本文件沒顧好 旅客個資大曝光
文/個資法專家幫同事訂飲料,也可能因此觸犯個資法還丟掉飯碗!高鐵曾發生員工將旅客死亡事故通報單回收用來訂飲料,導致旅客個資外流。此事件的處理過程通報單,紙張背面寫滿「紅茶半S少I」等訂飲料資訊,訂完飲料後,這張單子就被隨意棄置地上,導致旅客猝死事件曝光、當事人資料外流。
一般企業或機關所保存的個資可分爲「紙本文件」與「電子檔案」兩種。 通常這些個資文件都是散落在電腦各資料夾內,或是辦公桌各處,像隨手寫的便利貼、紙條、傳真、回收二次利用的影印紙、甚至名片等,都含有個資資料在內。若是沒有加以控管並訂定安全維護計劃,發生個資外泄的機率會非常高。
資安保護專業公司優碩科技曾表示:「新版個資法通過,資料保護範圍不再只是電腦資料,紙本資料成爲最大隱憂。企業應強化紙本文件本身的安全性,例如讓非授權者無法進行文件傳送、影印、傳真等紙本文件鎖的功能。一般人如果沒有駭客技術,很難取走數位資料,至於紙本資料存放場所則是鐵櫃或木櫃(最常見的就是過期檔案),通常不會上鎖,不需要太複雜的技術就能輕易取走。若我們將所有的紙本文件做好蒐集、規劃、掃描檔案存成電子檔,並轉成可搜尋文字的PDF檔。在這過程中,我們所要做的動作,只有將文件放入掃描器中,並按下掃描啓動鈕,等待的過程中,我們可以使用電腦繼續處理其他事情,相當方便。 再利用DRM/ DLP(資料外泄防制系統)來設置金鑰,保護檔案本身,也能保護公司與自身安全。」
新版個資法已上路,要是再發生相同事件,恐怕就不是將員工懲戒開除這麼簡單了;依個資法規定,公務機關違反本法,致個人資料遭到不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗拒所致者,不在此限;同條第3項「…如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣500元以上20,000元以下計算」;第29條第1項「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限」,而同條第2項則規定一體適用第28條之法院覈定賠償標準。若是沒有妥善的處理這些指本文件及電子資料,經營者或是負責人員都可能必須負起民事、刑事和行政責任「依個資法 41 條 1, 2 項規定,違規「蒐集」或「利用」個資,最重可處五年有期徒刑。」這種禁令的道德評價不強,在組織行爲中,經常各級人員 在不知不覺中觸犯。