圖、文/個資法專家
敦化國中近日出了大紕漏,訓導處一名組長為了參與訓輔聯席會議,列印出6、7份高關懷學生名單,回辦公室後一時疏忽忘了將名單銷毀,直接丟入廢紙回收箱,被一名不知情的老師拿給學生再利用,導致部分學生看到名單內容,該老師發現後連忙回收,但已被學生用手機拍下外傳;校方將開會討論懲處,同時向校內教職員加強宣導個資保護。
若將此案件中的老師為公司老闆,而拍照外傳學生為公司員工,外洩出去的個資是機密性較高的文件,事情還會是考量他非故意洩露且已獲得家長諒解,決以口頭告誡這麼簡單?
第27條第1項「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」;而如果不依這條的規定採行適當安全措施者,依第48條政府可以命限期改正,屆期未改正者,處新臺幣20,000元以上200,000元以下罰鍰。
個資法第29條第1項規定,如果企業「違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任」。在傳統的觀念中,公司違法,老闆首當其衝,與員工無關;但是個資法正式上路後,即使是員工的「個人行為」,只要造成個資外洩,就必須讓整個機關來負責賠償,以每人每次洩露500元至20,000元不等,最高甚至可達2億元之譜;除非機關能「證明自己無過失」,才能免除如此沈重的賠償責任。而「個資管理人」也將連帶處以與公司同樣金額之「行政罰鍰」。
個資法實行的這幾個月來,不論是政府、學校、企業…洩露個資的意外始終層出不窮,有的公司還不只發生一次。如果依法處理,有多少家公司捱得起上面這種賠償金?我們又要如何防範這樣的個資外洩個資持續發生??
資安界專家翁浩正表示:『中小企業除了要加強『個資盤點』、『個資保護』、『稽核管理記錄』、『個資教育訓練』,完整PDCA(規畫、執行、稽核、改善)之外,建議可以再加強DLP/DRM(資料外洩防制系統)將文件設定權限並且加設金鑰做控管。如此一來,若是真的發生的個資外洩事件(不論是人為或電腦駭客入侵)皆可以表示公司已採取了『適當之安全措施』並證明自己無過失。』
讀者迴響