2013年11月18日 星期一

千呼萬喚始出來 金融業個資檔案安全辦法正式公告

千呼萬喚始出來 金融業個資檔案安全辦法正式公告

人力仲介業、不動產經紀業、多層次傳銷業與票據交換所之後,金管會也已於11/8正式公告「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」,並於公佈日起施行。舉凡金控、銀行、證券、期貨、保險、電子票證、金融服務業、金管會主管之財團法人等受金管會管轄不同規模之非公務機關,均一體適用。

自從去(2012)年個資法上路後,許多企業便遲遲等待所屬主管機關發布個資管理辦法以便下一步因應動作,金管會的個資檔案安全維護計畫尤其備受矚目。從一開始銀行、證券、保險各自訂定個資檔案安全維護計畫(草案),經過一年多歷經多次版本修訂,到最後此一最終版本涵蓋所有金融業。其中幾項於後期版本新增的條文,值得特別注意:

1.重大個資外洩事故的通知:在第六條要求「非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故,應訂定下列應變、通報及預防機制…(略)非公務機關遇有重大個人資料安全事故者,應即通報本會;其所研議之矯正預防措施,並應經公正、獨立且取得相關公認認證資格之專家,進行整體診斷及檢視。前項所稱重大個人資料安全事故,係指個人資料遭竊取、竄改、毀損、滅失或洩漏,將危及非公務機關正常營運或大量當事人權益之情形。」
此項條文要求一旦發生「重大個人資料安全事故」將危及營運或影響大量當事人權益時,應通報金管會,然而卻未具體定義何謂「大量」當事人權益,如個資洩露筆數或所洩漏資料欄位等,企業對於何時該通報可能會有不同認知。

2.第十條,針對有提供電子商務服務系統者,應採取下列資訊安全措施,包括身分認證、個資隱碼、資料傳輸加密、應用系統軟體驗證、個資存取控制保護監控、防止外部入侵、異常行為監控等七項
3.第十四條,各項個資保護機制、程序及措施應留存軌跡資料或相關證據,相關證據及記錄應至少留存五年,法令另有規定者不在此限
儘管這項個資檔案安全辦法終於出爐,資安顧問謝持恆仍呼籲,此項個資辦法僅是針對個資法第27條第三項所訂定。對於民眾而言,金融業是否能落實對民眾個資的保護,仍有賴主管機關制訂相關行政檢查辦法,並徹底執行。否則個資法上路後,民眾個資意識逐漸抬頭,民眾對金融業提出的檢舉陳情案件也不在少數,但至今已做出裁決的僅有中國信託、南山人壽等少數案件。

除了主管機關的執行度,也許就如同行政院張善政政委所言,個資法只是最低門檻,各家業者對民眾個資保護所投入的努力,應被視為業者服務品質、競爭條件的一部份。民眾應該睜大眼睛,慎選重視客戶個資的往來業者。

轉載自《資安人》