2012年10月30日 星期二

個資法爭議多 專家:法務部應示範合理使用

個資法爭議多 專家:法務部應示範合理使用

  立法院2010年5月三讀修正通過「個資法」,但外界認為關於資料蒐集處理利用等相關條文過於嚴苛,因此行政院決定分階段施行,並將窒礙難行的條文再行修正、送至立法院審議,但這項做法遭學者批評可能違憲。另外,在個資法上路後,社會擔心觸法,紛紛從嚴解釋,造成執行上的困難,法律專家認為,法務部應該示範如何合理使用個資,以消弭社會的恐懼。

◎個資法窒礙難行條文多 決分階段實施

  「個資法」於2010年5月修正公布,但外界認為第六條有關特種資料蒐集處理利用要件,以及第54條有關在該法施行前間接蒐集的個人資料應於1年內完成告知義務等規定過於嚴苛。因此,除了上述有爭議的部分外,其餘條文10月起實施,法務部並另提「個人資料保護法」第六條、41條、45條及54條修正草案,送立法院審議。

◎學者憂法務部恐違憲

  法務部分階段實施「個資法」,遭學者批評違憲。台灣大學法律系教授顏厥安認為,法務部若認為條文有窒礙難行之處,就應請行政院提覆議,不能只選對自己有利的方式施行;他建議立法院拒審修正草案,並將草案退回行政院。顏厥安說:『(原音)如果授權行政院訂定施行日期,可以解釋為包括可選擇哪些條文施行、哪些條文不施行,這就變成憲法層級的選擇性執法,立法院通過的法律案會變成僅供參考、可供選擇,這是對權力分立的巨大挑戰,與對依法行政的否定,立法院是絕對不能接受這種行政權恣意濫權。』

  國民黨立委呂學樟則表示,修法期間,社會即反映不同意見,但法務部認為一切沒有問題,所以最後依照法務部版本修正,如今卻出現部分法規窒礙難行,法務部應全權負責。

◎法部:覆議期短 作業不及

  面對各界批評,法務部次長陳明堂強調,「個資法」在十多年前開始修法,有其時空背景,前年修正通過後,各界才強烈反映窒礙難行,法務部已來不及請行政院提覆議,所以才會決定分階段實施,絕沒有侵犯立法權的意思。他說:『(原音)在11年前開始修法時,最主要參考歐盟,歐盟當時最嚴格,其他各國寬嚴不一。一路修法以來,我們也請各界提供意見,當時反映並沒有那麼強烈,99年(2010年)修法完了之後,我們並不是不覆議,因為覆議期只有10天,過了覆議期以後各界反應才非常強烈,說會造成社會上很多問題,因此法務部才沒有即時的報給行政院提覆議,這一點是原先始料未及的。』

  陳明堂也指出,承辦相關業務的法律事務司人力共20人,其中能辦理法律業務的只有17人,「人少事繁」也是造成延宕處理的原因之一。

◎個資法上路亂象多 專家:法務部應示範

  另一方面,即使「個資法」無爭議部分已先行上路,仍不免出現亂象。像是各機關為了避免觸法,紛紛從嚴解釋法條,陸續出現起訴書隱蔽當事人姓名,導致內容宛如無字天書;甚至有區公所不願提供名冊,使得地方宮廟發不出重陽敬老金,都造成實務上的困難。

  該如何在保護個人資料與民眾「知」的權利間取得平衡?達文西個資暨高科技法律事務所負責人葉奇鑫認為,台灣社會陷入「個資法恐慌期」,當各界都不知所措時,法務部有責任帶頭示範如何正確解釋「個資法」,安撫民心。他說:『(原音)林益世這個事情是知名公共人物的重大案件,這絕對是社會矚目的公義性案件,但是法務部公布的起訴書有900多個OOXX,這其實不是法律問題,是腦袋解釋上有問題。尤其法務部他自己是法的主管機關,當他自己這樣用法律時,會影響到其他機關,甚至民間企業,所以我覺得法務部要做正確、合理使用個資的示範。』

  葉奇鑫表示,台灣「個資法」參考世界各國立法例,條文本身沒有太大問題,他舉例,英國皇家檢察署日前公布性侵集團成員的所有個人資料,但因為與「公義」相關,所以並未違反法律規定。雖然台灣也已經將「公義」原則入法,但各界仍非常「惶恐」,所以有必要轉換腦袋與法律認知,勇於詮釋法律,合理使用個人資料。

  在網路興盛、詐欺犯罪猖獗的今日,個人資料保護的確有其必要,個資法的施行也讓台灣跟上世界趨勢,只是在這項法案實施的磨合期間,相關單位必須負起說明及引導的責任,建立清楚的規範,才不會讓個資的保護遭到過度解釋,進而影響到整個社會的利益。

轉載自《中央廣播電台》

2012年10月29日 星期一

個資法-適當之個資安全維護措施與事項

個資法-適當之個資安全維護措施與事項

項次
PDCA
措施與事項說明
1
Plan
找人來管理
2
企業被授權蒐集、處理或利用的個資有哪些?法律為何?
3
企業現在蒐集、處理或利用的個資有哪些?特定目的與蒐集目的為何?依據之法律為何?
4
違法之衝擊與風險為何?
5
事故發生時之應變與通報機制
6
規定該寫的計畫與管理程序要確認撰寫,並且有簽核與公佈記錄
7
Do
個資盤點
8
建立個資蒐集、處理或利用之管理程序
9
宣導與教育訓練
10
資料、設備、人員安全管理
11
該告知要告知、該通知要通知、該取得同意要取得同意、該監督要監督
12
該滿足個資當事人需求就務必滿足
13
Check
稽核個資保護情況
14
所有證據、軌跡、記錄該保留要保留
15
Action
持續改善之規定與執行記錄

轉載自《IT雜貨店》

BS 10012個資保護標準的10大實務作法

BS 10012個資保護標準的10大實務作法

臺灣新版《個人資料保護法》制定都參考APEC和OECD的隱私權綱領,而英國BSI在2009年6月推出的英國個人資料保護標準BS 10012,也在同樣的參考基礎上,制定一套保護個資框架與實務作法。

勤業眾信副總經理萬幼筠以及臺灣BSI副總經理蒲樹盛都認為,BS 10012透過一套完整的P(規畫)、D(執行)、C(稽核)和A(改善)的循環流程,建立一套完善個資保護的框架和最佳實務(Best Practice),不論新版個資法施行細則是否已經完成制定,同樣具有參考價值。

目前許多政府部門,為了讓個資保護的作法能夠從點擴及線與面,也接受BS 10012相關的教育訓練,作為各政府機關執行個資保護作為時的重要參考框架。



正確心態是個資保護的第一要務 
新版個資法的刑責普遍加重,公司主管也負有刑責,許多企業在考量因應個資法的同時,第一考慮的點就是「如何避免被告」,而且相關的資安或個資保護措施,也都奠基在不被告或者是被告知後,可以順利脫身的基礎上而來。

但是,蒲樹盛認為,一旦企業心態有所偏頗,個資保護就容易淪為虛應故事、炒短線的作法,便無法從點擴及到線和面。他說:「這樣的個資保護作法,遲早會因為不夠深入或面向不夠廣,而造成個資外洩的疏漏。」

為什麼個資保護第一要務就是匡正心態,蒲樹盛以「密件副本」的概念做說明。他指出,許多有個資保護概念的人在寄送電子郵件時,就會習慣性把普遍多數的收件人名單列入密件副本中,避免電子郵件被收集;但這種密件副本的觀念卻不一定深入到每個電子郵件收發者的身上。這也如同企業對個資保護的概念,如果不能深入到每一個同仁的心理,無意間的小動作,例如一時疏忽,把所有收件人都列在收件者或者副本收件者的欄位中,類似因為無意動作導致的資料外洩,也可能造成很大的客戶資料外洩後遺症。


臺灣BSI副總經理蒲樹盛強調,企業做個資保護不應該從避免被告的角度出發,唯有以同理心保護客戶個資,才能做到線和面的個資保護。

蒲樹盛強調,客戶信任企業而將寶貴的個人資料交付企業使用,企業理應負起完善的保護之責。但是,目前普遍現象都是,企業多從「如何不被告」或者是「可以證明已經做好相關個資防護措施」的角度所做的個資防護措施。

這種目的性的作為,通常是哪裡有洞補哪裡,在無法深入企業流程進行個資盤點,無法了解企業重要的個資有哪些,會經過哪些部門與作業流程,一個有意或無意的疏失,都可能造成嚴重個資外洩。就像是房屋捉漏一樣,蒲樹盛說,若不能找到漏水的源頭,只是修補好漏水處,永遠會有再次漏水的可能性。

「企業是不是真的站在保護客戶個資的立場來做個資保護措施,深入的程度一定和只是避免被告有極大的差異。」蒲樹盛說道。也因此,他建議臺灣企業在進行個資保護時,一定要有正確的心態,如此一來,相關個資保護的作法、方向才會對,才不至於造成方向偏差。

不過,蒲樹盛也觀察到,現在許多企業還沒進行相關的個資保護措施,有時候是高階主管還沒有意識到新版個資法對企業影響的深入層面。

目前常見的現象可能是,單就法律面而言,新版個資法對個資保護的精神和舊版類似,所以法務部門不認為對企業影響層面會比舊法更深入,所以就沒有跟公司高層提醒新版個資法的影響和嚴重性。就IT部門而言,IT部門能掌控的多為電子資料檔案,如果有導入相關的資安政策,就已經連帶做好相關的個資保護,不是認為沒有必要再提醒新版個資法對企業的衝擊,就是認為,IT部門沒有能力承擔個資保護之責,反而直接或間接地規避類似的提醒責任。

對於這些現象,蒲樹盛認為,唯有多從正面積極的角度出發,鼓勵企業內各部門重視個資保護的重要性與價值,才可能完善個資保護的作法。「畢竟,個資保護不是單一部門的責任,而是全公司每個同仁的共通責任。」他說。

在ISO 27001基礎加上BS 10012作法 
萬幼筠表示,勤業眾信花2年多的時間,歸納出一套企業個資保護的方法論。從協助客戶逐步完善個資保護的實務經驗,加上參考ISO 27001資安認證和BS 10012(英國個人資料保護標準)的資訊安全框架和個資保護的實務作法,以及從訴訟原則上的「沒有故意」、「沒有過失」、「善盡善良管理人之責」和「沒有不可抗力因素」的角度,發展出這套方法論的框架。但他強調,目前這一套方法論還沒有對應施行細則,仍有一些細節之處需要調整,但整體企業個資保護方向仍是正確的。

根據勤業眾信過去推動ISO 27001資訊安全認證的經驗,個人資料只是資訊資產的一部份而已,若單純以ISO 27001的資安管理框架來看,萬幼筠認為,距離企業要做好個資保護,仍有一段差距。因此,為了完善企業個資保護的實務作法,勤業眾信參考英國國家標準局(BSI)在2009年6月推出的BS 10012標準,參考其個資保護管理實務上PDCA的作法,完善勤業眾信個資保護的方法論。

BS 10012非常侷限在個人資料的保護,強調深度確保個人資料安全的實務作法。蒲樹盛表示,ISO 27001資安認證所囊括的範圍,除了個人資料以外,還包含營業秘密、財務資訊等其他機密資料,廣度較個資保護為廣,但對於專門個資保護的深度較淺。蒲樹盛說:「ISO 27001是資安的基本防護架構,而BS 10012則針對個人資料提供深度保護,兩者相輔相成。」他認為,企業也可趁此時利用BS 10012的個資保護框架,重新檢查每一個個資保護環節是否符合個資法的規範。

萬幼筠說,BS 10012是一套個資保護框架,也是企業進行個資保護管理PDCA實務作法的國際標準,不僅符合臺灣《個人資料保護法》的立法精神,更是目前少數提供個資保護實務作法的標準。萬幼筠認為,對於有真正落實、深化ISO 27001資安認證的企業,因應新版《個人資料保護法》的來臨,可以新增加BS 10012的實務作法,藉此完善企業對個人資料的保護措施。

作法 1 形成內部共識、制訂個資保護政策 
《個人資料保護法》過關後,將直接衝擊許多企業內部現有的作業流程,企業是否已經正視到該法一旦實施後,將對企業造成實質衝擊,而內部如何因應這樣的衝擊是否有共識,才是企業是否已經做好新版個資法應對的證明。

萬幼筠表示,新版《個人資料保護法》中的「可歸責性」(Accountability)是一個重要的立法精神,由於未來新法加重企業刑事責任和提高民事賠償上限,企業面臨個資外洩或不當使用的風險比以往高出許多,個人資料的保護就不能由兼職單位或人員負責控管,制訂個資保護政策、成立管控個資專責單位,則是企業正視新版個資法衝擊的第一步。

為了證明企業的確重視個資保護,萬幼筠認為,這樣的個資控管專責組織,也應該清楚明列在公司組織架構表和工作執掌說明內容上,以示慎重。他也說,目前電子化檔案可以由IT部門作為電子化個資的中控單位,但紙本個資則沒有任何單位可以作為個資控管單位。因此,公司個資管控專責單位的組織架構和工作說明,更顯得重要。

蒲樹盛對此表示同意,他認為,企業內對《個人資料保護法》因應如果有共識,第一件事情就是制定個資保護的政策,為了符合BS 10012規範,就應該攤開組織表,審視每個部門的功能執掌,並設立一個專責的個資管理單位,稱之為「Data Controller」,負責個資的蒐集、使用、傳遞、銷毀和保存。蒲樹盛表示,個資發送給誰、又被轉送給誰,中間所有傳遞的軌跡流程,都應該有專責的人或單位負責。


隱私權衝擊分析(Privacy Impact Assessment,簡稱PIA)主要是為了點出,各種系統在開發過程中,可能觸發的個資和隱私權議題。一般而言,為了讓隱私權衝擊分析更有效率,這會是日常流程的一部份,而透過隱私權衝擊分析,企業可以確保一個新系統在開發的過程中,都能符合各種法規遵循、公司治理、客戶和商業隱私保護的需求。

舉例而言,如果銀行要作隱私權衝擊分析,就必須先看過所有業務流程,然後挑選內含個人資料的資訊流,例如,信用卡、財富管理、客戶服務等有個資的應用系統,再使用分析方法篩選出具有可識別個人身分的系統作分析評估。



作法 2 進行個人資料盤點、確定範圍 
《個人資料保護法》通過後,企業也必須回頭審視手邊擁有的個人資料,是否是當事人提供或間接蒐集而來,而這些個資使用目的是否已有變更,這些個資狀態都攸關企業未來在使用這些個資時,是否必須再取得當事人同意。

萬幼筠指出,機關企業應該從業務流程的資訊流,去盤點企業目前所擁有的個資種類、數量和形式等,企業必須盤點到底有哪些個人資料,而這些個資來源是直接或者是間接蒐集而來的。要做個資盤點,蒲樹盛說,從資料的生命周期來看個資盤點是最適當的方式之一,從規畫、教育訓練、個資盤點並產生類別清單、個資流向、個資歷程等,就可以清楚掌握每一個資料的來龍去脈。

舉例而言,若企業內有一個會員申請的資料,除了要從資料的生命周期確定這份會員資料中,哪些是重要的、企業需保護的個資?這份會員申請單會流經哪些部門?有哪些部門或同仁會使用這份個資?在使用的過程中,是否允許其他人複製使用?這份個資最終會以何種形式儲存在哪個部門或人員手中?而最後的資料銷毀流程,是誰負責?又是以何種型態處理呢?

目前越來越多的資料是儲存在各種應用系統中,萬幼筠以金融業為例,一間金控銀行有2千臺伺服器,2百個不同資料庫,每個資料庫有超過20個以上的資料表。若進一步分析每個資料表中「ID」欄位的意義,到底指的是個人身分證字號,還是使用者登入帳號,這些都必須看到程式碼才可能知道。

萬幼筠說,對於企業而言,這些個人資料盤點的流程,是最花時間也最需要人力的關卡。許多企業都在尋找自動化個資盤點的工具,但目前而言,仍須以半人工查驗的方式,才能盤點出企業內的個人資料有哪些資料類型和種類。即使是因應無店面零售業提早在今年7月1日就優先適用現行電腦處理個人資料保護法的博客來網路書店,到現在為止,個資盤點的流程仍舊在持續進行中。

除了盤點電子檔的個人資料外,萬幼筠提醒,「除了要盤點電子化的個人資料外,企業還必須盤點紙本的資料。」若民眾到銀行開戶,會填寫很多書面申請表,銀行會掃描轉存成影像檔、PDF檔或其他電子化格式存檔,但這些紙本資料因為都有當事人的詳細個人資料,因此企業對紙本個人資料進行各種個資處理、利用、儲存甚至刪除等,都不可以忽略紙本個資這一個環節。

蒲樹盛也同意,因應新版個資法規定,管理上就必須意識到有紙本個資的管理,但因為電子檔形式的資料庫儲存個資量大,相關的管制措施就應該更為嚴格、謹慎才是。


作法 3 進行隱私權衝擊分析
隱私權衝擊分析(Privacy Impact Assessment,簡稱PIA)主要是為了點出,各種系統在開發過程中,可能觸發的個資和隱私權議題。一般而言,為了讓隱私權衝擊分析更有效率,這會是日常流程的一部份,而透過隱私權衝擊分析,企業可以確保一個新系統在開發的過程中,都能符合各種法規遵循、公司治理、客戶和商業隱私保護的需求。

舉例而言,如果銀行要作隱私權衝擊分析,就必須先看過所有業務流程,然後挑選內含個人資料的資訊流,例如,信用卡、財富管理、客戶服務等有個資的應用系統,再使用分析方法篩選出具有可識別個人身分的系統作分析評估。

作法 4 分析業務活動資料熱點和關鍵環境 
勤業眾信有一套BIF(Business Information Framework)方法論,萬幼筠表示,這個就是從業務流程去看個人資料的資訊流向,並針對各種應用系統作分析,確認組織內部所儲存的客人資料和儲存位置,也可以進一步了解目前企業控管程度和法規遵循的程度。

例如,網路購物業者的客戶資料會流經第三方物流業者,公司內部則會經過訂購客服系統、財務系統、出貨系統和銷貨系統,若在系統面,則可能會流經CRM系統、ERP系統、資料庫、資料倉儲系統等,最後則會產出一張進出貨和庫存報表、客戶配送資料報表。萬幼筠說,透過這樣的資訊流,可以清楚掌握每一個部門和系統甚至儲存設備上,留有哪些個人資料,也可以進一步分析是否合乎新版《個人資料保護法》對個人資料使用的規範。

結合BS 10012的個資保護方法論,中小型企業也適用
勤業眾信因應新版《個人資料保護法》過關,推出一套結合實務經驗和BS   10012標準推出的個人資料保護方法論,該公司副總經理萬幼筠表示,這套方法論不只是適用於較具規模的大型企業,中、小企業只要在進行個資盤點和隱私權衝擊分析時,能清楚界定個資範圍有多大,就同樣適用這個方法論。

小型企業因為範圍小、人員少,業務較單純,在做個資盤點和隱私權衝擊分析時,只要能夠清楚界定該企業內應該保護的個資範圍,問題反而單純。

萬幼筠就曾經針對一些本土、小型的物流業者,試用此一方法論,因為實施範圍很容易界定,個資盤點速度快,很多時候,只要把作法、誰做、做什麼事先表定清楚,執行力甚至比大公司還好。

小公司因為人少,往往要一人身兼數職,在本分工作時間以外,才有空做資料建檔、轉換檔的工作,執行進度會稍微慢一點。萬幼筠說,在該有的控管點界定後,等到人員上手後,只有後期要通知客戶、做記錄會比較麻煩外,其他的問題都不大。

不過中型企業問題就稍微複雜一點,雖然略有大公司規模、卻是小公司的運作精神,萬幼筠形容,這樣的中型企業「風險是高級的,但能力確是初級的。」同樣在界定個資範圍後,他說,中型企業因為人數規模稍多,至少能做到有1
2名專職人員,負責個人資料保護的任務。

至於使用這套個資保護方法論,萬幼筠表示,如果個資的範圍是顧問定的,大概要花7
9個月去做,如果範圍是全公司的,執行時間大約1年,若是小公司,大約半年就可以完成這樣的個資保護方法論的作為。從萬幼筠的實務經驗來看,不論公司規模大小,該方法論都沒有不適用的問題。



作法 5 釐清個資權責和所有權 
從個資盤點到隱私權衝擊分析,到掌握個資資訊流在每一個應用系統和儲存空間的個資流向後,接下來就是要釐清個資管理的責任,萬幼筠認為,RACI矩陣模型是一個很適合用來釐清個資所有權的工具。

RACI矩陣的R是Responsibility表誰來負責、解決問題之意,A是Accountability表誰來承擔、批准之意,C是Consultation表誰來諮詢、提供意見之意,I是Informed表誰被告知之意。

萬幼筠表示,在這個RACI模型中,左側可以記錄各種個人資料類型,上方則記錄所有的個資資訊流管控者或窗口,在相對應的方格中,填入R、A、C、I,辨別每一種個資類型和負責人的對應關係。他也說,如果,系統使用者端的使用者行為難以區別時,則可以透過企業內部職能衝突風險管理來解決。

作法 6 評估個資存放系統的風險是否獲得控管 
個人資料保護除了要考慮資訊生命周期的變化,萬幼筠說,資料生命周期和組織內部環境高度相關,企業要結合營運狀況和資訊技術,為個人資料提供一個控管架構。

這個控管架構用來確認企業組織對這些存放個資資訊設備所採用的安控措施,是否做到適當的風險控管。如果有風險控管不當的項目,就可以進一步修改或調整。

作法 7 部署合適個資保護與監控的工具 
在資料處理的流程中,IT和負責個資管控的主管必須選擇合適的個資保護和監控工具。萬幼筠認為,企業在解讀、評估《個人資料保護法》對企業造成的衝擊與挑戰時,企業主應該正視「企業對個人資料保護」的重要性,而法條對於擁有個資企業的規範上,他建議,企業應該先從架構一個「企業對個人資料保護概念框架」著手。

所謂的企業對個資保護概念框架,是從機關組織是否設定隱私保護組織、政策、規範的治理面開始,逐步延伸到掌控資料處理流程,並對應部署合適的管控措施,對於所有的個資資訊流進行保護,並執行相關的監控措施和進行相關的分析報告。這個完整的過程,就是機關組織在面對個資保護時,從機關組織角度,一直到實際監控作為所架構出來的個資保護概念框架。

萬幼筠特別提醒IT部門主管,不能只聽信廠商片面說法,IT主管必須非常清楚,沒有一個防護措施可以做到「以一擋百」,每一個防護措施都有其保護對策的上限,因此,企業評估個資外洩防護措施時,切忌抱持著只想找到一個萬靈丹來治百病的心態。

蒲樹盛認為,企業心態若是希望用工具解決個資保護的問題,終究只能保護到點的個資,線和面的個資保護就可能因為沒想到、疏忽,而未能做到善良保管人之責。




作法 8 記錄與保存個資資訊流向和軌跡 
企業參考個資類別和風險高低,選擇合適的個資防護措施之後,為了能夠保存每一筆個資異動的軌跡,重要資安設備和資安事件的Log檔(登錄檔)都必須留存。萬幼筠說,所謂的Log保留不只是保存數位化Log而已,而是中間很多的記錄軌跡都要能夠保留下來,重點在於要能夠「還原」事件原本的面貌。

還原事件原貌就不只是單純收集Log檔而已,連相關資安設備的時間,都必須事先校準過,這樣才有辦法還原事件的原貌。萬幼筠說,日前就有某客戶網站遭到外部駭客入侵,企業為了提告,將收集資安設備的Log作為法院的呈堂證供,但此時就發生資安設備時間沒有校準,防火牆Log時間早於路由器Log時間,因為時間差導致這個Log記錄反而不具有證據力。

作法 9 重新審視委外合約以符合個資法規定 
個人資料的資料來源除了來自外部客戶、內部員工還有第三方合作或委外廠商。萬幼筠指出,委外廠商是許多企業在個資防護上,最脆弱的一個環節。因為多數著手進行個資保護的企業,保護的範圍通常不及於合作的委外廠商。

例如,某客戶網站被當成駭客攻擊跳板,按照Log記錄還原事件發生的來龍去脈時,追溯到某ISP業者後就無法繼續追溯下去了。因為,該ISP業者聽到企業主機被當成跳板後,就直接將該主機系統重灌,原本所有的電子化證據和Log檔都沒有保存,致使該客戶追查動作追到ISP業者後,便宣告中斷。
上述的案件並非例外,萬幼筠提醒,隨著新法規定,受委託單位視同委託者,在法律上,委外單位和委託者負有相同的個資保護責任和義務,如果客戶提告,企業提供相關的證據追查個資外洩的起迄點,如果追查途中,因為委外單位沒做好相關的個資防護以及追蹤記錄保存,導致企業無法完成個資外洩的追查時,委外廠商和企業需負起連帶賠償責任。

因此,他建議,從現在起的1年內,機關企業應該逐次重新審視委外合約內容,為了確保客戶個資的保護,企業除了和委外廠商增訂保密和賠償條約外,未來新成立的委外合約,都必須符合《個人資料保護法》對個資保護的要求,對於舊有、尚未到期的委外合約,若無法重新更約,也應該另外做避險和風險管控的手段,以降低企業必須連帶承擔委外廠商個資外洩的風險。

這種狀況很容易發生在電子商務業者委託物流業者配送貨物,若個資外洩是物流業者造成的,受委託者視同委託者,該物流業者造成的個資外洩,電子商務業者則必須負起連帶責任。

作法 10 檢視企業的個資防護訴訟策略 
萬幼筠說:「個資外洩基本上是一種企業對當事人的侵權行為,」而所有的犯罪在追究責任時,檢察官主要的任務就是追查犯罪動機、掌握犯罪工具,以及確認犯罪事實。所以,企業在評估《個人資料保護法》施行後的各種影響層面時,對於企業應該盡哪些義務、負擔哪些責任,尤其受損害的當事人提告之後,上法院訴訟時,就可以從「有無故意」、「有無過失」、「有無善盡善良管理人責任」以及「有無不可抗力之因素」來看相關的衝擊與挑戰。

因為,檢察官在偵察犯罪的第一件事情就是察看犯罪動機,也就是說,企業對於擁有的個資應該善盡保護之責,如果因為「該作為而不作為」導致個資外洩,企業就有故意不作為的嫌疑。一旦當事人對企業提告,企業因故意不作為導致當事人個資外洩,企業就必須負擔起相關的賠償責任。萬幼筠說,像是企業設立具有實權的專責機構和人員,來負責相關的個資保護,制訂並落實相關保護政策與流程規範等,都是企業是否有故意不作為的證明之一。

除了故意與否,「企業應該做而沒有做到完善,導致當事人個資外洩,企業就有過失之虞。」萬幼筠說道。這通常牽涉到比較多技術層面的問題,當確認應該有的個資保護組織、標的後,就進入如何進行實質保護的階段。萬幼筠指出,從業務狀況看資訊流流向時,企業就應該針對每一個資訊流流向可能的資料外洩風險,提供相對應的保護措施。

「關於企業個資防護作為是否有過失,通常是上了法庭之後,請專家證人作證後,才能向法官證明個資外洩當時的個資防護作為,是否已經做到當時技術所能及的地步。」他說,如果企業能夠證明沒有過失,或者是能夠證明,企業盡可能完善的個資保護是因為碰上不可抗力的因素,例如,零時差攻擊(Zero Day Attack)導致個資外洩,法官在審判時,通常會參酌企業表現,減輕責罰。

萬幼筠強調,「不論是故意、過失,或者是不可抗力因素,當事人一旦提告,企業都必須能夠負起完整舉證的責任,」而這些舉證,除了保存完整的Log檔,時間必須一致、也必須能從這些Log檔還原事件原貌。他說,從訴訟的角度來看,企業在個資保護的作為上,只要能夠證明企業沒有任何故意或過失,善盡善良管理人的責任,以及受到不可抗力因素導致的個資外洩風險,法官通常會酌情減輕罰則。


信任是企業最昂貴的資產 
電子商務業者Payeasy營運長陳怡宏說:「信任是昂貴的,也是企業最重要的資產。」曾經經歷過會員資料在2007年12月,遭到中國詐騙集團,企圖以資料拼圖方式暴力竊取的慘痛經驗,當時Payeasy以大張旗鼓、對外宣揚的方式,提醒所有會員注意相關個資是否被竊取,也是目前唯一一家,主動對外公開會員個資現況危險程度的業者。

陳怡宏認為,資訊安全包含個資保護都不是資訊或技術的問題,而是企業經營層面的政策問題。只有當企業認為資安與個資保護與企業營運息息相關時,企業才會提供足夠的資源與心力在上面。

當時,Payeasy簡單的因應策略可分成先止血,將所有可疑的帳號、可疑的IP立即封鎖;再來是清查,地毯式的清查所有會員帳號、密碼,是否有不正常的存取現象,並且在第一時間內,以網站公告、電話聯繫和限時專送信件告知帳戶異常存取的會員;最後就是蒐證,把每一個會員帳號異常存取的動作,完整保留下來,並於第一時間報警、召開記者會,將收集到的相關事證,提供相關單位做後續的調查追蹤。

陳怡宏指出,資安推動不容易,企業投資資安和個資保護措施時,若只一味看重投資報酬率,最後只有到出狀況時,才會後悔相關的保護措施不足。

為了避免不必要的後悔,Payeasy以「會員資料」作為個資保護的重心,明訂存取策略並實施資料分級制度,透過分散式的資料處理方式,以及P、D、C、A持續不斷的改善流程落實個資保護。他強調,唯有把每一次檢視個資保護的流程,都當成當年「第一次遇到詐騙集團攻擊時的因應心態」,才能不斷以最謹慎的態度因應個資保護的作法。

企業個資盤點3步驟
臺灣BSI副總經理蒲樹盛表示,BS 10012是一套根據PDCA提供個資保護實務作法的標準,PDCABS 10012中都各有專章說明。其中,「個資盤點」是很重要的一個部分,不過,多數企業因為沒有任何可以參考的範本,經常不知道從何著手。蒲樹盛則分享他的實務作法,企業可以據此延伸其他相關的作法。

首先,蒲樹盛說,第一件事情就是要確認公司組織架構,有時候會因為公司有些不在同一處辦公的外圍機構,沒有再度確認容易疏忽。再者,公司必須指派高階個資管理代表,也要指定負責日常處理個資保護、監控與教育訓練的專責人員。第三,從資訊生命周期的觀點進行個資盤點,重新審視公司每一個部門,到底擁有哪些資料,這些資料中又包含多少個人資訊在內。

在確認每個部門擁有哪些個資的清單資料後,公司就要產生一份「個資類別清單」,這個清單就詳細記載著這些個資的資料,都由誰經手、收集、處理、利用及刪除的流程。蒲樹盛強調,當這份個資類別清單出爐後,企業就應該據此重新檢視各個部門相關的個資保護措施和個資保護意識是否足夠,若是發現擁有較多個資的部門,對相關的個資保護措施或意識不足時,就應該立即提供各種強化措施以補不足之處。


企業進行個資盤點步驟示意圖



步驟 1 確認組織架構
企業進行個資盤點前,一定要確認公司組織架構,除了要指派高階個
資管理代表外,也藉此確認公司的營運範圍和組織規模大小。





步驟 2 彙整出各部門個資類別清單
若以客服部為例,企業必須清楚盤點客服部究竟擁有哪些表單資料,先列出完整清單後,在彙整出與個資相關的類別清單,例如會員基本
資料檔就包含會員姓名、聯絡電話、地址、email、帳號和密碼等內容。





步驟 3 盤點個資類別清單在各部門流向
將各部門彙整出的個資類別清單,逐一確認企業各組織對各個個資類別清單的收集、處理、利用、國際傳輸和刪除的經手流程。全部盤點過一次後,才會知道哪些部門個資防護措施是否足夠。


轉載自《iThome》







個資法-成立管理組織、配置相當資源

個資法-成立管理組織、配置相當資源


項次
角色名稱
職務內容
1
Steering Committee
8  支持個資管理委員會所訂定之個資保護政策與個資保護相關決議
8  核准個資保護相關之預算需求
2
個人資料管理委員會召集人
8  負責召開個資相關會議
8  協調個人資料管理委員會之委員意見
3
個人資料管理委員會
8  確認各部門執行窗口
8  制定所有個資保護相關政策
8  審核所有個人資料管理之相關配套計畫
8  確認所需之預算編列
8  監督所有個資保護之相關計畫執行進度
8  確認個資保護成效
8  持續改善個資保護機制
8  因應公權力機關之查核作業
8  回應個資當事人對個資之需求
8  主導個資異常之應對策略
8  制定與增修個人資料管理相關辦法
4
個人資料執行暨應變小組
8  個資盤點
8  進行個人資料之風險評估以及應變管理機制
8  建立個資事故之預防、通報及應變機制
8  執行所有個人資料管理委員會決議事項
8  因應所有個資之異常現象
8  進行個資宣導與教育訓練
8  通知個資當事人個資使用以及異常處理情況
5
各單位個人資料管理負責人
8  負責管理營運必要之個人資料
6
資訊部門人員
8  導入必要且符合個資法規範之資安工具
8  執行所有與個資法規範相關之資安防護與管制作業
7
稽核人員
8  稽核個人資料管理作業是否符合個資法之規範
8
個人資料管理聯絡窗口
8  協調所有個資當事人與企業之個資需求
9
組織全體員工
8  遵守個資法之相關規範
10
個資當事人
8  提出個資處理需求
11
廠商
8  提供必要之資安工具
8  遵守個人資料管理委員會所制定之規範
12
客戶 / 消費者

13
委外人員
8  遵守個人資料管理委員會所制定之規範


轉載自《IT雜貨店》

2012年10月28日 星期日

iThome 2012年 IT人大調查 - 臺灣IT人現況


iThome 2012年 IT人大調查 - 臺灣IT人現況

臺灣IT人仍舊以男性居多,占87.7%。半數是30∼40歲的30歲世代,平均工作年資超過10年。近6成是資訊相關科系畢業,其中有28.1%擁有碩士學位。隨著平板電腦風行,65.5%的IT人擁有平板電腦,也平均擁有1.4臺相機。MIS網管工作仍是大宗,高達29%的IT擔任MIS

男性占 87.7% 
52.7% 是30歲世代 
61.9% 已經結婚, 
平均每人養育 1.5 個小孩 
28.1% 碩士畢業










工作年資平均 12.9 年 
每周工時 48.9 小時 
平均年薪 74.8 萬元 
59.5% 資訊相關科系畢業 
65.5% 擁有平板電腦 
平均擁有 1.4 臺相機







問卷調查執行說明:iThome 2012年IT人大調查透過網路問卷和電子郵件問卷進行,執行期間從9月10日到9月21日,共回收了2,221份問卷,扣除無效問卷與非專職IT人後,有效問卷共計1,871份。

轉載自《iThome》

2012年10月25日 星期四

「最受歡迎密碼」又來了 增加2012年名次走勢變化

「最受歡迎密碼」又來了 增加2012年名次走勢變化



















每年駭客團體都會推出一份「最受歡迎密碼」榜單,用來取笑那些想像力貧乏的電腦使用者。根據保密軟體公司Splash Data最新資料,password再度成為最多人使用、最容易破解的密碼,第二、三名則是123456及12345678

Splash Data公司從駭客今年釋出的數百萬組帳號密碼中,整理出「最受歡迎密碼」排行榜,並且參考歷年資料,為排名增加了「走勢變化」。該公司表示,儘管駭客手法、工具越來越高明,仍然是從最弱的密碼下手,因此提高密碼難度才是保護個人隱私的最大關鍵。

事實上,有許多網站在設定密碼時,即會要求使用者採「英文+數字」的組合型密碼,有些甚至強迫要求大小寫交錯。不過仍有很多人只是在自己的生日前面加上簡單的字母,實際破解難度並沒有增加,還是讓駭客有機可趁。



















轉載自《ETtoday 新聞雲》

iThome 2012年 個資法大調查 - 因應經費篇

iThome 2012年 個資法大調查 - 因應經費篇

未來1年企業預計平均要投入271萬元來因應個資法的要求,甚至有8.9%的企業認為因應經費應該超過5百萬元



金融業者因應經費最高,平均投入700萬元 
因為個資法沒有一套標準的因應作法,近7成企業認為難以評估應該要投入的經費。但也有3成企業已經擬定了未來1年的個資法因應經費,這些企業平均要投入271萬元,更有高達8.9%的企業認為應該超過500萬元。其中投入經費最高的是金融業,未來1年打算投入達700萬元,而高科技業者最低,不到1百萬元。








資安設備與系統修改,是因應個資法的兩大支出

為了符合個資法的規定,約6成的企業都將採購資安設備,以及修改資訊系統,這兩項是企業因應個資法的主要支出。

61.3%的企業會採購資安設備,補強資訊安全防護,以避免個人資料外洩的風險;而59%的企業則投資經費在修改資訊系統,因為個資法對於個人資料的蒐集、處理、利用的整個生命周期有特別規定,企業作業流程與個人資料有關的部分勢必得修改,以符合個資法的要求,這是大多數企業都無法避免的。

此外,與個資法相關的兩大顧問服務:個資法顧問服務與資安顧問服務,占比也不低,36.2%的企業要採用個資法顧問服務,29.2%的企業要採用資安顧問服務,這表示有三分之一的企業採取斧底抽薪,以長治久安的因應做法,將個資法因應機制融入企業管理制度。







問卷調查說明 
iTh ome 2012年個資法大調查透過網路問卷和電子郵件問卷進行,針對iThome歷年CIO大調查樣本與中華徵信臺灣5千大企業或營收規模相當的企業IT主管進行調查,執行期間從10月1日到10月8日,共回收了321份問卷,扣除無效問卷後,有效問卷共計271份。





您可能有興趣的其它主題:
iThome 2012年 個資法大調查 - 因應現況篇

轉載自《iThome》

iThome 2012年 個資法大調查 - 因應現況篇

iThome 2012年 個資法大調查 - 因應現況篇

只有45.9%企業開始執行因應措施,企業自己預估,平均還要6.3個月才能符合個資法的規定。30.4%企業由資訊部門負責主導因應工作,甚至有16.3%企業更由總經理帶頭擔任個資小組的召集人 



企業平均還要6.3個月才能符合個資法法規要求 
個資法在10月1日上路了,但還有不少企業還沒開始執行因應措施,近4成企業正在評估和規畫因應做法,更有14.8%的企業甚至還沒開始動作。企業自己預估,平均還要6.3個月才能符合個資法的規定。不過,也有不少企業認為,個資法的影響程度輕微,甚至有5.3%的企業評估後認為沒有影響。金融業是最重視個資法的產業,因應腳步最快,近9成的金融業者已經開始執行各項因應措施。一般製造業者的因應腳步最慢。








企業還未重視數位證據的證據力

達文西個資暨高科技律師事務所主持律師葉奇鑫

在因應個資法的困難和挑戰中,將近7成(68.6%)的公務與非公務機關皆認為,「缺乏可遵循的標準作法」是很大的困難與挑戰。葉奇鑫表示,目前各行各業的確面臨各目的事業主管機關尚未制定其所管轄行業的個資安全維護計畫;此外,這個問題,因為每個產業原本就有不同的標準作業流程,若以「法」的立場來看,的確不可能做到提供可供遵循的標準作法。

有45.8%的受訪企業認為「數位證據紀錄、保存與舉證不易」, 他認為,多數企業會把這個選項看得比較嚴重,主要是因為多數企業都缺乏相關的設備,加上設備也相對昂貴,讓許多企業開始想打退堂鼓。但葉奇鑫說,企業目前應該還沒有體認到「數位證據」的重要性,現在只考慮到資料保存要增加的成本,例如Log(登錄檔)記錄的保存,但還沒考慮到這些資料未來是否足以用來舉證,數位證據的證據力才是企業應該要關注的重點。

至於有43.9%的企業在意「法令動向不明」,葉奇鑫表示,個資法正式實施後,相關的施行細則、特定目的與資料類別等,都已經陸續公布,但企業接收相關訊息的程度仍不夠快速,加上個資法有第6條和第54條條文保留,多數企業對法規動態的認知較弱,企業難免會有「法令動向不明」的感受。但他認為,這應該是內心感受大於實質感受程度。


製造業過度輕忽新版個資法的影響
理律法律事務所合夥律師曾更瑩

從這次iThome個資法大調查的結果中,多數一般製造業和高科技製造業公司認為,個資法造成的影響性並不嚴重,遠低於金融業、醫療業、服務業及政府與學校等產業看重的嚴重程度。 

理律法律事務所合夥律師曾更瑩表示,在既有的產業分類中,不論是一般或者是高科技製造業都不屬於原本電腦處理個人資料保護法的適用行業別,因此,新版個資法擴大實施對象時,製造業者反而過度輕忽個資法對產業帶來的整體影響。 

她認為,相較於金融、服務或醫療業者,製造業者擁有的個人資料相對較少,其所擁有的個人資料也大多以法人資料為主,再加上製造業主要是要管理和保護自己公司員工的個資,因此,相對於其他產業,製造業業者較不重視個資法。 

不過, 許多法人企業擁有大量業務聯絡人的個人資訊,再加上,臺灣許多製造業已經產生質變,像是製造業者提供產品保固和維修時,也需要服務第一線的使用者,甚至逐漸擁有許多用戶的個人資料。 

所以, 曾更瑩認為, 製造業服務化的傾向提高了製造業所擁有的個資含量,但製造業者卻還沒意識到個資法後續影響的嚴重性,實在是過於輕忽個資法的適用情形。 


您可能有興趣的其它主題:

轉載自《iThome》

美國伯靈頓市府系統遭駭 市民與員工個資外洩


美國伯靈頓市府系統遭駭 市民與員工個資外洩

美國伯靈頓(Burlington)市的市府付費系統驚傳駭客入侵,竊走該市府於美國銀行的帳戶資料,及至少40萬美元的存款,雖然,美國銀行已經將該帳戶凍結,但駭客很可能拿被竊走的資料做進一步運用。

本次事件影響範圍包括參與伯靈頓市府電子轉帳計畫的員工,以及使用該市自動轉帳服務的居民。當地官員Bryan Harrison表示,由於駭客入侵了市府的公用事業付費系統,因此所有使用自動轉帳服務的用戶個人資料,包括姓名、銀行帳戶、銀行代碼等資訊,也都可能已經被駭客竊走。

該事件原本可能更加嚴重,因為帳戶中的金額遠高於駭客所竊取的數目,Bryan Harrison認為,也許是因為還來不及竊取所有的錢就被發現之故。一家東海岸銀行於10/11發現一系列來自柏靈頓市府帳戶的可疑轉帳交易,轉出對象為該東海岸銀行的企業或個人帳戶,而且在2天之內至少有3筆巨額轉帳交易,於是與柏靈頓市府聯繫,確認是否將該帳戶的存款轉到其他數個帳戶,也因此發現這次的資安事件。

相較其他網路攻擊事件來說,該事件被竊取的金額並不驚人,但因為用戶的個人資料也遭竊取,因此駭客很可能再做進一步的攻擊。Bryan Harrison指出,截至目前為止,還無法確切得知資料外洩的規模,不過美國特勤局(U.S. Secret Service)和相關法律機構已經開始展開調查。

為了避免影響進一步擴大,Bryan Harrison表示,已經提醒所有用戶盡快和銀行聯繫或是先將帳戶關閉,所有使用市府電子轉帳帳戶的員工,也被要求先關閉原本的帳戶,並重新開立新的帳戶,另外,市府也要求員工通知信用卡公司,以避免個資被拿來做其他使用,導致更大的損失。

在該起攻擊事件發生前幾日,RSA曾經發佈警告指出,透過監控地下論壇內容的方式,偵測到一個網路犯罪集團計畫使用名為Gozi的木馬程式,展開大規模網路攻擊行動,而且可能聯合100個駭客共同參與,預計鎖定至少30家美國銀行的網路帳戶竊取金錢。

在RSA的警告發佈後,其他資安專家也陸續表示發現即將攻擊美國銀行帳戶的資訊,而在RSA發表警訊之前兩週內,包含美國銀行、摩根大通銀行、花旗銀行、Wells Fargo等數家銀行,都同時遭遇阻斷式攻擊(DDoS)。

雖然沒有證據指出伯靈頓市攻擊事件與RSA發布的警告有關,然而,駭客鎖定特定組織、銀行單位展開目標式攻擊越來越氾濫,近一年來,有許多地方政府、銀行、小型企業也曾遭遇類似的攻擊,根據FBI統計,美國政府和企業在近幾年遭受網路攻擊的損失達數億美元。伯靈頓市的外洩事件和RSA預期將發生的大規模攻擊行動,對銀行組織來說無疑是項重要的資安警訊。

轉載自《資安人科技網》

個資開步走 由管理、法律實務面檢視您的資安對策(研討會)


個資開步走 由管理、法律實務面檢視您的資安對策(研討會)

主辦單位:漢昕科技股份有限公司
日  期:2012/10/30
時  間:13:00-17:00
連  絡  人:張小姐
報名專線:02-27083489#224 or 221 or 210
電子郵件:yujchang@bccs.com.tw
地  點:台灣金融研訓院502教室 (台北市中正區羅斯福路三段62號5樓502教室)
對  象:一般民眾對於個資議題有興趣者,歡迎免費報名參與。
活動官網:請按
活動議程:
 
                 
13:30-14:00
貴賓報到
14:00-14:40
整合資安與個資管理系統成果分享
14:40-15:20
隱私權的國際觀
15:20-15:40
Tea Break
15:40-16:20
個資法律實務面面觀
16:20-16:30
意見交流


2012年10月24日 星期三

網路購書後被詐騙 賽門鐵克:應提防小而準的外洩事件


網路購書後被詐騙 賽門鐵克:應提防小而準的外洩事件

上周又傳出消費者在網路書店消費後,接到詐騙電話的新聞,根據警方指出,其中某新成立的網路書店在短短三個月內造成了24名網友受害,損失金額達80多萬元,同時在另一家網路書店平台發生的詐騙案則造成單筆48萬元的損失。同樣近期在其他網路書店也有消費者反映購物後接獲詐騙電話。

儘管這幾年下來,在政府及165反詐騙專線的宣導下,民眾對於詐騙電話的警覺心已有提升。但部分受害者在接到詐騙電話當下,仍然因為歹徒握有詳細消費明細,而一時誤入詐騙集團圈套。然而與過去不同的是,個資法正式上路後,企業難再以我們也是受害者自居,除了須面對消費者群起在臉書上對店家的質疑,還必須面對執法機構的審視。甚至可能須面對團體訴訟的壓力。資安專家也提醒,已經有越來越多「公益團體」為了辦個資外洩侵權的團體訴訟案件而設立,因此企業面臨了不同於以往的高度風險,必須思考避險的機制。

儘管目前調查結果還未出爐,究竟是平台業者或其它供應鏈出問題還不得而知。但從越來越多的詐騙新聞,可以看出不只是知名網購業者,二線電子商務業者也都遭殃。根據賽門鐵克網路安全報告顯示,2012年資料外洩事件的平均資料外洩筆數為64萬筆,比起去年131萬筆有明顯降低。其中可能原因是大型企業受到去年大規模惡意網路攻擊影響已開始重視資料庫的保護,或者駭客不再只鎖定大型企業,轉而瞄準同樣具有價值的資料儲存場所。因此,賽門鐵克提醒企業必須提防小而準的資料外洩事件。

轉載自《資安人科技網》

研究:8%免費Android App有SSL漏洞可能洩露個資


研究:8%免費Android App有SSL漏洞可能洩露個資

約8%的免費Android App使用容易遭受中間人攻擊的SSL/TLS程式碼。這些App中約有四成個很容易遭受中間人攻擊而洩露手機中的資料,包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、Windows Live等各式帳號與密碼。 

德國Leibniz、Philipps兩座大學的研究人員分析1.35萬個Android免費App後發現,其中約8%,總計1047個App使用容易遭受中間人攻擊的SSL/TLS程式碼。

SSL/TLS是網際網路加密通訊方式的一種,但早在2002年就被資安專家Moxie Marlinspike判定不夠安全。此次德國研究人員設計一個分析軟體MalloDroid來攔截並分析App的http/https連線請求,同時檢核其SSL憑證的有效性,結果發現測試的1.35萬個App中,有1047個App接受任何來源的憑證。

研究人員進一步挑選其中一百個App,發現其中41個很容易遭受中間人攻擊。透過這41個App,他們可以取得存在手機中的資料,包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、Windows Live等各式帳號與密碼。

研究人員還發現,利用假憑證能讓防毒軟體誤判刪除特定軟體或完全失效,也可以從遠端遙控讓程式載入惡意模組。

該研究報告並未列出41款App的名稱,因為研究重點在於一般常用軟體處理使用者資料的保護程度,而非惡意軟體或漏洞。研究人員估計這41款App當中有三款安裝量介於一千萬到五千萬,全部受影響的用戶可能介於395萬到1.85億。

研究人員使用網路向754個使用者進行調查,發現有一半的使用者不知道瀏覽器是否使用加密連線,而忽略憑證警告的使用者更高達56%。

研究人員建議Android作業系統、線上軟體商店及開發人員都可以解決該問題,並計劃提供他們所研發的工具軟體MalloDroid讓使用者偵測是否面臨中間人攻擊的威脅,另外他們認為必須提供更多資安教育與工具給開發人員。(編譯/沈經)

轉載自《iThome》