個資法通過只是第一步
【經濟日報╱社論】
2010.05.01 02:05 am
詐騙集團愈來愈難混了,倒不是因為轉帳金額限制等措施發酵,而是以往詐騙集團把一個人的生辰八字、身分證字號、所作所為講得清清楚楚時,民眾連想懷疑都無從懷疑起,被騙成功的機會當然很高;但現在民眾都知道,別說是詐騙集團,就算是一般人,也能透過網路人肉搜索或破解網購密碼,輕易取得他人資料,民眾已不會那麼容易上當了。但此一趨勢也使得一般民眾對無店鋪的交易行為,如電子商務、電視購物,甚至政府大力發展的雲端產業缺乏安全感,因為愈方便的資訊傳輸,也將帶來愈大的資訊外洩風險,亦更凸顯個人資料保護法於此時完成修法的意義。
立法院本周二完成個人資料保護法修正案三讀,這項法案早在四年前就送進立法院,但因民意代表及媒體是否免責等主要爭議而卡住;法務部的原版本排除了以從業「身分」別的免責規定,希望由「事」的本身來認定是否應受個資法規範,結果引起新聞自由受限的疑慮,因而在三讀時調整,通過媒體基於新聞報導的公益目的而蒐集的個人資料,以及民眾在網路使用公開活動的資料,例如在臉書張貼友人合照等都可免責。
相對於舊版的「電腦處理個人資料保護法」,新版個資法主要修法內容有三:一是「擴大適用」,將原本只適用電腦處理等「特定行業」的舊規,擴大為所有公民營事業都適用;二是「加重刑度」,將意圖營利而竊取、洩漏個資,及非法變更、刪除個人資料等行為的最高可處徒刑之罪,提高為五年,罰金也大幅增加,且此二類犯行亦由「告訴乃論」修正為「可為公訴」。
三是由著重於「事後」發生行為懲處,納入「事前」防範的規定,這也將對產業發展帶來最大的影響。個資法第27條規定,非公務機關保有個人資料檔案者,應採行適當的安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;中央目的事業主管機關並得指定非公務機關,訂定個人資料檔案的安全維護計畫或業務終止後個人資料的處理方法;另於47條訂明罰則,若未依規辦理,主管機關可要求改正,屆期未改正者,按次處新台幣2萬元以上20萬元以下罰鍰。
目前台灣所有的行業中,資訊安全整體表現最好的是金融業,主要是為符合巴塞爾協定的相關規範,其他產業尚待提升;因而對業者的規範,除了事後的責任與處罰,規範這些業者增強環境風險的控制能力與努力,確是必須的。日本在2003年5月即通過「個人情報保護法(JPIPA)」,明訂擁有5,000筆以上個人資料的機構,必須做好預防資料外洩機制,即使沒有發生外洩事件,也可能因未做好預防而受罰,應可做為借鏡。
因此,未來中央目的事業主管機關所訂定的各行業「安全措施」規範,對於該行業資訊化的便利與發展至為重要,政府應善用此一規範,全面提升台灣的資訊安全環境,千萬不要辜負了好不容易才通過的個資法,尤其是金融、電信、醫院、保險及資訊服務相關行業更是如此;我們並建議針對敏感性相關產業的上市企業,要求須在財報揭露資安的投入、機制與事件,以供消費者及投資人參考。
此外,公務機關也保有大量的個人資料檔案,故而個資法18條明定,應指定專人辦理安全維護事項;但我們認為這是不夠的,政府應要求設置資安主管,且既是專人就不能是兼職。過去研究顯示,有無資安主管及專人專職,對資安事件的發生頻率有著顯著的影響。因此,個資法通過只是第一步,能否展現預期效益,端看政府主事者的認知與決心。
留言列表
學者相關(個人&團體) (12)