月號 臺東林區管理處政風室 資訊安全維護 公務機密 在網路購買商品,應慎選有安全交易機制網站 非法影片 … 連結部落格 挨告侵權 駭客入侵境外商務網站 資安時事案例 烏龍露個資 – 洩密又挨告 村里可否設置村里民聯絡電話簿? 輕鬆學資安 資安動畫金像獎 資安小叮嚀 個人資料保護法 第一章 總 則 第二十九條
【聯合報╱記者王慧瑛/新竹報導】 2013 年 6 月 3 日 在科技公司上班的李姓男子,前年 9 月以嵌入式連結方式,將 YOUTUBE 上的大陸劇「大秦帝國」影 片畫面連結到部落格,並搭配文字抒發心情點滴。此舉被影片代理商控告違反著作權,提告求償 12 萬。李認為很無辜,只是單純連結 YOUTUBE 上頭的影片到自己部落格,沒想到連結到的是非法上傳 影片,絕非故意觸法,是不慎踩到「網路陷阱」。在法官促成下,雙方 2 萬元和解。 李姓男子說,他看完「大秦帝國」 51 集 DVD ,有不少感想,才在部落格寫文章,並從 YOUTUBE 上連 結三段「大秦帝國」影片。只是單純連結,沒有商業用途,更沒有從中獲利,他認為,片商應針對 「上傳影片的人」,如果源頭關閉,連結也就失效。 代表代理商出庭的洪姓男子表示,無法代表公司發言,不便多談。 法界人士指出,許多網友在部落格轉貼照片或連結影片,若未經授權,將有觸法危機,「網路侵權」 不容忽視。萬一涉及侵權,可能帶來高額賠償,正所謂「不用錢的最貴」。 法官提醒,網路上使用著作物要很謹慎,例如收到電子郵件,裡頭都是美麗風景照片,未經授權就任 意轉寄,被原作者發現,可能被告侵權。如果把未經授權的歌曲、影片、圖片放在部落格任人下載, 有可能被告侵權,即使只是放上連結,如果連過去的網址放上的是未經授權的內容,仍有可能挨告。 若轉載時註明轉引出處網址,是否就可避免法律責任呢?答案是「不一定」。除非經過著作權人同意, 否則就算載明出處,對方仍可以提告。 如何避免侵權呢?法官建議,轉引任何著作物時,記得通知原作者,得到對方的轉引同意,才是最安 全做法。 非 法影片 … 連結部落格 挨告侵權
蘋果日報 日期 : 【陳威叡/台北報導】民眾上網購物普及,吸引許多跨境電子商務網站來台搶市,警方發 現民眾在境外網站,購買中國廉價品牌服飾或瞳孔放大片等商品,除恐涉及《藥事法》或 《商標法》外,還須冒著個資被盜用風險,刑事局統計,在台灣購物商城、與美瞳商城購 物遭詐騙案件增加,計有 40 多人受害、被害金額達數百萬元。 刑事局提到,大多境外電子商務網站系統老舊,無法即時更新網站漏洞修補程式,遭駭客 鎖定竊取個資,再加上多數網站客服系統與公司名稱不明,若遭詐騙集團持個資佯裝賣家, 致電被害人操作 ATM ,恐造成民眾財物損失。 刑事局提醒,民眾在網路購買商品,應慎選有安全交易機制網站,或選擇擁有「資料隱私 保護標章」認證網站交易較具保障。 駭客入侵境外商務網站 民眾交易個資難保障
烏龍露個資 – 洩密又挨告 2013 年 6 月 3 日 前言 政府機關受理民眾陳情請願,常可能因此取得民眾陳情書及相關個人資料,雖陳情請願屬於公開訴求,惟仍應依人民陳情相關法令為 後續處理,如需運用陳情資料亦須符合個人資料保護法規定,避免產生未經同意或與原目的不符之公開、洩漏情事,造成當事人損害, 衍生政府機關國賠責任,實不可不慎。 案例說明 小李和鄰近住戶組成土地重劃自救會向某地政機關陳情,拒絕徵收所有土地進行其他開發,除於該機關網路信箱陳情外,一行人浩浩 蕩蕩到該機關門前進行陳情請願,並遞交載有相關自救會成員身分資料之陳情書,經該機關派代表受理後離開,嗣後卻發現該自救會 成員陳情書中的個人資料,竟成了該機關於重大重劃案件評估說明會之附錄資料,且該機關為求便利,又以網站留言板回覆陳情人, 亦未適當遮掩相關個人資料,造成該自救會成員的身分證字號、電話、地址等個人資料全部公開在網站上可供人點閱、下載,該自救 會立即電洽該機關抗議其作法失當,且違反相關規定,揚言告到底,並要求國賠。 問題分析 本案為洩漏民眾自救會陳情書及附件之個人資料,該自救會附件資料主要用於反對土地徵收之陳情附件,並未同意其他使用或公開於 網站中,又雖係公開陳情,惟主管業務機關受理後,應將陳情書及相關附件,回歸機關受理檢舉陳情案件保密相關規定,交由負責辦 理之承辦人員,再將資料密封後交由收發人員登錄,且登錄之內容不得顯示檢舉 ( 陳情人 ) 姓名或身分辨識資料,另於公文簽辦過程除應 以密件簽核,且須用密件答覆處理結果,而非將該案以一般案件處理,衡酌本案因受理民眾陳情書與相關個人資料,應屬公務機密範 疇,該機關於網路留言板答覆,亦未適當隱去陳情人之個人資料,實有未妥,已衍生洩密問題。 另依據個人資料保護法第 16 條規定,公務機關如對個人資料之有特定目的外之利用,應符合相關要件方得為之,例如有法律明文規定、 為維護國家安全或增進公共利益、有利於當事人權益或經當事人書面同意等。而該機關於重大案件評估報告書中,未經同意,擅將隨 附於陳情書中之個人資料作為該案附錄,顯與上述要件不符,又依據同法第 28 條規定,公務機關違反本法規定,致個人資料遭不法蒐 集、處理、利用或其他侵害當事人權利者,負損害賠償責任。因此,該機關後續尚須面對相關國賠問題。 綜觀受理本案機關之處理作為,應係對於陳情案件與個人資料之相關規定與要件判斷有誤,致生洩漏情事,確有違失檢討空間。 下一頁
改善及策進作為 ◎本案肇因機關同仁對於民眾公開陳情請願性質未正確之研判,且就相關個人資料管理及運用不慎所致,機關應積極檢討下列措施,以 避免類似情事發生 : 一、重新審視受理陳情案件相關規定,並確實檢討相關規範是否完備、受理程序是否妥適,以使機關承辦人員知所依循,避免衍生洩 密情事。 二、藉由本案顯現陳情案件處理過程易生洩密,因此,應積極建立各項陳情案件判斷歸屬流程,檢討各環節之弱點與錯誤頻率,落實 風險管理,降低誤判機率,提升機關維護效能。 三、全面檢核類似案件屬性判斷是否合宜,相關處理過程是否符合規定,避免重蹈相同問題。 四、妥訂陳情案件相關個人資料檔案管理機制:如針對機關因陳情案件蒐集個人資料所應制訂機關內部管理規範,規範個人資料之蒐 集者、蒐集方式(直接或間接)、告知當事人、蒐集界面及儲存位置、法定保存年限及自定保存年限等事項,並落實檢核陳情案件個 資蒐集、處理及利用過程,當事人隱私權保護之需求,俾能確實監督管理狀況。 本署叮嚀事項 民主法治時代,政府職責係為民服務,而人民為爭取權益或表達訴求,得依法透過陳情請願等合法管道向政府機關表達訴求,政府機 關因而取得大量個人資料,應有良好的管理或保護措施,避免未合法運用,造成民眾權益受損,或保護不善產生如駭客入侵等洩漏風 險。因此各級機關管理該等資料,除就涉及公務機密部分應依密等文件程 4 序進行保管外,另需參照個人資料保護法儘速落實相關維護工作,俾提升使該等資料於機關內部運用與保管安全性,本署就該案提出 下列叮嚀,以資參酌: 一、積極檢討訂定機關主管機密範圍項目,俾利公務機密與個人資料確實依據其個別管理模式妥為執行。 二、嚴密機關組織分層審核措施,協助同仁處理相關案件,確符個案處理程序,避免衍生洩密疑慮。 三、重新檢視個人資料保護法施行後,機關各項作業程序與有關之行政規則,是否有相悖或未盡之處,以符實際,並減少疏失。 四、加強公務機密與個人資料保護法之法治教育:綜觀洩密多肇因公務員對於案件與法令認知未盡周詳,因此,透過現行法令規定、 洩密違規(法)案例,以及可能導致洩密管道與因素,積極提升個人之保密法治觀念,方能落實宣導效益。 結語 公務機關就各項涉含個人資料之公務文件,因應個人資料保護法施行,應更為審慎,尤以面對各項法令產生見解上之歧異時,應以專 業並合乎法治精神,對於當事人有利之方向做決策,除避免衍生後續洩密疑慮外,並有助於提升民眾對於政府之信賴。本案因機關同 仁受理民眾陳情請願案件取得他人個人資料,又於處理方式與後續運用,未符合公務機密與個人資料保護法之規定,導致陳情人權益 受損,實應深入檢討,避免類似案件再發生,以保護民眾權益,維護機關廉政效能。
第二十九條 非公務機關違反本 法規定,致個人資料遭不法蒐集、 處理、利用或其他侵害當事人權 利者,負損害賠償責任。但能證 明其無故意或過失者,不在此限。 依前項規定請求賠償者,適 用前條第二項至第六項規定。 個人資料保護法個人資料保護法個人資料保護法個人資料保護法
村里可否設置村里民聯絡電話簿? 資料來源 : 法務部 - 個資問與答 答: 一、村里長蒐集村里民聯絡電話部分: 村里長基於民政、社會行政、政令宣導、政府福利金或救濟金給付行政、選舉、罷免及公民投票行政 等特定目的,而於執行其法定職務 ( 地方制度法第 59 條規定參照 ) 之必要範圍內,蒐集村里民之姓名及 聯絡電話等個人資料,並設置村里聯絡電話簿,符合個資法規定 ( 個資法第 15 條規定參照 ) 。 二、村里長利用村里民聯絡電話部分: 1 、村里長為執行其法定職務所必要,原則應於特定目的範圍內利用村里民聯絡資料 ( 例如:辦理一般 民政或社會行政業務 ) ,尚不得逕將村里民聯絡資料予以公開或提供予他人。 2 、另村里長如將村里民聯絡資料作特定目的外利用,應有增進公共利益、為防止他人權益之重大危 害、經當事人書面同意,或為免除當事人之生命、身體、自由或財產上之危險等個資法第 16 條但書 各款所列情形之一,始得為之。 ( 摘自「法務部 102 年 3 月 27 日法律字第 號書函」 - 本函全文可於本部全球資訊網點選 「法務部主管法規查詢系統」查詢)
資安小叮嚀資安小叮嚀 社交工程主要是利用人性的弱點而進行詐騙。 社交工程是一種非技術性的入侵,是藉由與人 透過社交手段進行犯罪行為 ( 包括電話、電子郵 件、即時通訊工具等 … 皆是社交工程手段侵入 的管道。現代病毒已開始結合社交工程概念, 通常會用吸引人的標題 , 引起收件人的注意 , 例如「 I LOVE YOU 」病毒就是透過在電子郵 件中以「我愛你」為附加檔案的檔名,誘導使 用者打開附件,然而在使用者打開附件的同時, 即被植入病毒,這就是利用社交工程入侵電腦 的一個範例。