2012年8月29日 星期三

新版個資法即將上路 網路資安受重視

新版個資法即將上路 網路資安受重視

新版「個人資料保護法(個資法)」雖然在2010年5月26日總統就已公布,但由於法案本身仍存有許多爭議,施行細則草案也許多定義不明或窒礙難行之處,因此行政院遲遲沒有公布新版個資法的正式施行日期。 但今年2月內閣改組後,行政院長陳沖指派政務委員張善政、羅瑩雪召集相關部會,針對新版個資法施行進度召開協商會議,4月底提出擬建議,新版個資法可於今年10月1日正式施行。

由於新版個資法在適用行業別、保護範圍、企業的行為規範、企業的行政監督與責任、民眾參與及賠償刑罰等面向,保護範圍更為廣泛,進而提升企業資安防護意識與投資程度,以避免當資安事件發生時,需面臨到的賠償或刑罰責任。其中又以賠償責任從2,000萬元上限提升至2億元,刑罰責任從2年以下有期徒刑與告訴乃論,更改為5年以下有期徒刑與非告訴乃論之事,最受到企業關注。


新版個資法開始施行後,對擁有大量使用者個資的網購業者而言,必須比過去更加重是網路資安問題。

根據安侯建業會計師事務所(KPMG)對國內1600家興櫃以上的上市櫃公司內部稽核及財務主管所進行「企業舞弊及不當行為問卷調查報告」,有四成回覆者認為現今最讓企業擔心的舞弊是「竊取機密資訊」與「違反個人資料保護法」等挪用資產類風險,比2009年的23%大幅上升近一倍。

實行日逼近 多數企業準備不及

但令人憂心的是,距離新版個資法施行可能不到兩個月的時間,國內大多數企業卻不見得已經做好準備。在一份DIGITIMES於2012年6月所執行的一份「2012下半年企業E化調查」中顯示,有63.9%的受訪者在面對新的個資法條文,並不確定所屬企業現有的IT架構是否足以舉證沒有違反個資法;而有55.5%的受訪者表示,並不確定公司目前的資料庫稽核、防護與資料隱私保護等措施,是否足以防止資料外洩。

臺北地方法院檢察署主任檢察官張紹斌建議企業,可以從三個面向來思考個資法。首先是管理方面,包括個資專責人員組成、個資文件管理及權限控管;資安方面,則包括網路安全、電腦安全及實體安全;法律方面,則要考慮當事人權利、契約、合法蒐集、處理、利用、國際傳輸、委外處理及監督義務的相關條文

其中特別需要注意的是,新版個資法施行前非由當事人提供的個人資料,企業必須於處理或利用前向當事人為告知者,應自新版個資施行之日起一年內完成告知,逾期未告知而處理或利用者,將有觸法受罰的可能

新版個資法對網購及社交網站影響大

新版個資法施行之後,受衝擊最大的當屬擁有大量使用者資料的網購及社交網站業者。網購及社交網站在資安方面的投資與防護意識,近幾年來確實也有增加的趨勢,以避免發生資安事故時,不僅只是要負擔高額的金錢賠償或刑事責任,也是要避免網站營運及商譽損失。

尤其是個資法施行細則草案第九條更明訂,擁有個資的公務與非公務機關,應該有適當的安全維護措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,並明訂了11項的安全維護措施。包括:一、成立管理組織,配置相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、必要之使用紀錄、軌跡資料及證據之保存。十一、個人資料安全維護之整體持續改善。相關資安解決方案也因此紛紛出爐。甚至有產險業者推出「資訊安全責任險」,供企業投保,轉嫁不慎洩漏客戶個資後被罰或遭求償的風險。

中華龍網總經理葉奇鑫指出,他們的團隊利用自身開發的網頁掃描軟體DAS(DragonSoft Application Scanner),檢測20項產業、約200家產業的網站效能,有97家存有中高風險的漏洞,其中又以汽車、食品飲料、產物保險業佔前3位,容易被駭客竊取或竄改網頁

葉奇鑫表示,台灣的政府部門或中小企業對應用程式防護的概念薄弱,投資建置防火牆也不足,現在網頁的複雜性增高、變動性更大,理論上每一次網頁的變動,都會造成安全漏洞讓駭客有機可趁,所以執行應用程式的弱點掃描絕對不應輕忽。

新版個資法施行帶動資安商機

但新版個資法的施行,連帶也因此帶動網路資安商機,資策會市場情報研究所估計,今年臺灣整體資安市場的規模可望穩定成長,較去年增加近15%、達242億元,若細分應用別,台灣今年資訊安全市場中,有48%為威脅管理、35%為內容安全服務、9%為身分識別、8%為其他服務。由於金融、流通、電信業等都是個資法執行細則下影響最大的產業,也將是資訊服務業者全力爭取的客戶,也是新版個資法施行之後,最受關注的對象。

轉載自《DIGITIMES中文網》