2012年8月28日 星期二

借助解決方案與管理規範 善盡個資防護

借助解決方案與管理規範 善盡個資防護

時間過得很快,轉眼之間,已逼近新版個人資料保護法正式上路的日子。新版個資法猶如一劑猛藥,任誰看了都不免皺起眉頭,再加上鳴槍起跑的時程逼近,按理說,企業不分大小,此時理當早已做好萬全準備。

根據1份由DIGITIMES在6月期間所做的「2012下半年企業E化調查」顯示,高達63.9%比重的受訪者表示,面對新版個資法條文,並不確定所屬企業現有的IT架構,是否足以舉證其並未違反個資法,也就是說,要想拿出說服法官的呈堂證供,顯然沒那麼容易。

此外,有55.5%的受訪者表示,現階段並不確定企業目前的資料庫稽核、防護與資料隱私保護等措施,是否足以防止資料外洩。





根據DIGITIMES在今年6月進行的「2012下半年企業E化調查」顯示,高達63.9%比重的受訪者表示,尚未做好面對新版個資法的準備!顯見網路安全與個資外洩,仍是企業資安嚴重的問題。DIGITIMES於8/16舉辦的個資與網路安全研討會,邀請HappyGo、亞太電信、中華電信分享專案經驗,現場同時有多家業界夥伴進行解決方案分享,吸引近300位聽眾報名參與。
根據此一調查結果,明白顯示,多數企業依然尚未做好個資法施行的準備,這不啻是令人擔憂之事。

產研用各界現身說法,為企業指點迷津

有鑑於此,DIGITIMES遂於新版個資法施行的1個半月前、也就是8月26日,舉辦1場名為「個資防護與網路安全」的研討會,旨在針對當前企業如何導入管理規範、相關軟硬體方案等議題,邀約業界專家分享各自解決方案與施行經驗,期許為MIS、營運e化,以及稽核管理人員,提供最新的個人資料保護相關新知。

前述所謂的業界專家,分別來自產、研、用等3個領域;希冀透過這般的講者安排,讓在場聽眾汲取到不同角度的經驗與意見。

有關「產」這個領域,此次活動邀集了多家知名業界。在網路設備及資訊安全解決方案領域頗負盛名的瞻博網路(Juniper Networks),由該公司資深技術經理林佶駿以「新世代網站安全解決方案-第一次欺騙駭客就上手」為題進行演說,藉由讓人看來輕鬆莞爾的主題,以及饒富實用性的內容,指引用戶如何將包藏禍心的駭客,玩弄於股掌之間。

來自台灣網威的NetIQ台灣區產品技術經理李民偉,則將演講主題定調為「落實存取控管-打造完整稽核平台」,其演講內容,呼應了頗能契合個資防護的「安全性資訊與事件管理(SIEM)」與「日誌管理(Log Management)」等議題,恰好補足了多數企業有所不足的知識缺口。

日本知名的電信業巨擘NTT,其在台灣子公司「台灣恩悌悌」,由業務部經理林中豪蒞臨演說,主題為「虛擬化解決方案的資安問題」,主要是透過不同的角度,闡述資通訊基礎建設之於個資防護的關聯性與重要性。

以提供專業銷售、服務、教育訓練及技術諮詢服務為自許的世達先進科技,其軟體部經理詹復匡以「個資法下的企業挑戰」進行演說,他個人除了對於新版個資法箇中值得留意的環節,予以生動傳神地闡述外,也就資料備份、設備安全等不同層次,指引企業防範資料外洩之道。

享譽全球的網路存取資安閘道防護領導廠商Blue Coat,其技術總監曾良駿不談過去較常提及的DLP的議題,而是從「先發制人-淺談負日防禦(Negative-Day Defense )」觀點,點出潛伏於企業網路應用環境的種種危機,並提出相關的因應對策建議。

除此之外,包括鼎鼎聯合行銷技術管理部協理梁家榮、亞太電信資訊中心協理黃從訓,則代表用戶觀點,分享其資訊安全管理的實務經驗。

至於「研」方面,大會特別邀請了中華電信研究所資通安全研究室副理蔡雨龍,以「企業個資外洩案例與防護實務經驗」為題進行演講,分享近幾年來堪稱重大的個資外洩事件,並詳細解構這些事故的發生緣由,以及後續為相關企業造成何等損失,俾使用戶得以鑑往知來,避免重蹈覆轍。

罰則極為嚴厲,企業切莫掉以輕心

眾所周知,新版個資法對於資料防護的要求,比起從前更加嚴格,個人資料保護範圍,不僅侷限於電腦文件,更擴及企業日常作業中涉及個人資訊的各式電腦與書面文件。這也意謂著個資保護的責任,不應該只是IT部門的責任,同時也是企業法務、業務、企劃與行政等各部門,亟需同心協力完成的工作

然而新版個資法之「可怕」,或許還不在於保護範圍的廣闊,而是在於兩件事。第一,它與其餘法律有顯著不同,舉證責任並不在受害人,而在於企業本身,必須證明已經對個人資料善盡良善保管的責任;但正所謂「舉證之所在,敗訴之所在」,很多案件,任憑企業再怎麼有理由,再如何委曲,皆可能囿於舉證不足、抑或法院自由心證而遭到敗訴,要闖過這關,無疑有相當的難度。

其次,新版個資法罰則相當沈重,因為它首度增加了團體訴訟求償規定,受害人可透過集體方式向違法企業進行求償,每人每次可求償新台幣500~20,000元,若以相同原因所產生的賠償金額合併計算,違法企業最多可能得付出2億元,金額之高,足足是舊有法規的10倍。

對於某些人而言,賠錢事小,面臨牢獄之災,以及留下難堪的前科,那才嚴重!根據新版個資法罰第41~43條規定,依第21條限制國際傳輸之命令或處分,足生損害於他人者,處2年以下有期徒刑、拘役或科或併科20萬以下罰金;意圖營利犯前項之罪者,處5年以下有期徒刑,得併科100萬元以下罰金

換言之,假使企業明確違反個資法,不只蓄意犯罪的員工會被求刑,就連企業主,亦將面臨坐牢危機,罰則如此之嚴厲,企業豈能繼續擺出一副身不關己的姿態?千萬記得,新版個資法與別的法不太一樣,即使你在懵懂渾噩之間誤觸法網,但被證實並未善盡良善保管之責,接下來的麻煩事,想甩都甩不掉!

轉載自《DIGITIMES中文網》