個人資料保護法之衝擊與因應 行政院研究發展考核委員會 吳啟文 101年11月8日
資通安全威脅趨勢 威脅 風險 非法 存取資料 無法正常 提供服務 網頁 遭竄改 電腦 遭竊 使用者 遭詐騙 個資 外洩 機密資料 被竊取 實體破壞 非法入侵 威脅 偷竊 天然災害 內賊 詐騙 駭客 風險 非法 存取資料 無法正常 提供服務 網頁 遭竄改 電腦 遭竊 使用者 遭詐騙 個資 外洩 機密資料 被竊取
面臨的資安威脅種類 P2P分享軟體、無線網路風險、社交工程攻擊、 網頁掛馬、網站釣魚、隨身碟風險、社群網絡等 資安威脅不斷
P2P分享軟體風險 Internet 手機 伺服器 終端機 個人PC with P2P software 嚴禁使用P2P分享軟體 PDA NB
無線網路風險 AP OSI網路七層 架構 Internet 無線溢波,可能 電波遭竊聽, 導致未授權存取 導致資料外洩 駭客 IEEE 802.11 (WLAN標準) (7) Application Layer 未定義 (同有線網路) (6) Presentation Layer (5) Session Layer (4) Transport Layer (3) Network Layer (2) Data Link Layer LLC Sub-layer MAC Sub-layer (1) Physical Layer Physical Layer Internet 無線溢波,可能 導致未授權存取 電波遭竊聽, 導致資料外洩 駭客 (Man-in-the-Middle)
殭屍網路攻擊 Botnet 殭屍電腦回報 駭客透過中繼站,利用木馬程式遙控電腦 駭客 殭屍電腦執行攻擊 Command Server 殭屍電腦回報 駭客透過中繼站,利用木馬程式遙控電腦 駭客 Botnet 殭屍電腦執行攻擊 透過綱頁掛馬、社交工程攻擊等方式,使電腦感染木馬程式,成為可遭駭客遙控之殭屍電腦
國際資通安全威脅趨勢 組織型駭客以進階持續威脅(Advanced Persistent Threat)竊取公務、國防及商業機密 關鍵基礎建設透過開放系統與網際網路遭實體破壞風險倍增 組織型駭客以進階持續威脅(Advanced Persistent Threat)竊取公務、國防及商業機密 Stuxnet 全球資安供應商持續遭駭,破壞信任價值鏈,危及網際網路整體運作 資訊戰(Cyber-warfare)與分散式阻斷攻擊癱瘓國家網路運作 網路與經濟罪犯大量竊取個人隱私資料,影響電子商務與金融運作
當前政府資安威脅 當前政府 資安威脅 鎖定目標 社交工程 精準攻擊 防不勝防 設備微型 模式翻新 管理不易 應變不易 公務家辦 認知不足 擴增風險 認知不足 警覺不夠 鎖定目標,精準攻擊 中國組織型駭客有計畫地鎖定重要目標,入侵我政府機關網站或個人電腦進行戰略情蒐,竊取政府重要機敏資料或影響系統運作。 社交工程,防不勝防 駭客運用社交工程電子郵件或偽冒身分電子郵件侵入個人電腦,使用者不慎開啟夾帶惡意(後門)程式附件檔,隨時洩露機敏機料。機關同仁不當上網,無意間下載惡意軟體或後門程式。 在家加班,擴增風險 家中上網環境較不安全,家中電腦與辦公室電腦交叉感染。 設備微型,管理不易 隨身攜帶的資料儲存設備微型化、通訊網路無線化,管理不易,易造成洩密。 隨身碟等行動儲存媒體管理鬆散 模式翻新,應變不易 大陸駭客攻擊模式、手法及行為模式隨時翻新,針對台灣採取「定製」性的攻擊,非一般商業性安全解決方案可以有效解決。 認知不足,警覺不夠 面對新型態的社交工程攻程,公務同仁的安全認知與警覺心仍不足。 機關(構)不瞭解自身弱點及相對威脅 使用者警覺性不夠或以為事不關己、行為未落實 公務機密維護的死角 高階首長、主管及秘書辦公室的上網電腦或其他設備。 高階首長、主管及秘書家中的上網電腦或其他設備。 駐外機構,鞭長莫及 政府駐外機構上網電腦或其他設備。 委外廠商,程度差異 受政府委託處理資訊業務的廠商或學研機構。 人力預算專業不足 資訊(安)人力不足、專業待加強 預算不足 主導稽核員人力未充分再訓練與運用 我國資安防護弱點 網路攻擊可能癱瘓重要民生資訊基礎建設 駐外機構 鞭長莫及 人力預算 專業不足
政府資通安全相關問題 外部威脅 內部問題 組織型駭客針對性攻擊 鎖定特定對象或單位 攻擊型式變化快速 政府資安人力、經費及能量相對不足 資安事件通報意願不高 委外開發軟體及品質管理問題 資訊作業委外處理衍生資安管理問題 人員資安意識不足 各機關橫向聯繫機制尚待建立 資安相關法令尚未完備
政府機關資料外洩主要管道 以社交工程手法寄發惡意電子郵件 網頁惡意掛馬:網頁插入惡意連結內容,使用者不自覺下載惡意程式 外接式儲存裝置安全問題 使用P2P軟體、IM (Instant Message)即時通訊軟體、社群網站可能造成個人資料外洩風險
駭客入侵政府機關之趨勢分析 入侵資訊委外廠商,竊取政府機關機敏資料、資訊系統原始碼等 入侵資安防護能力較差之基層機關網站,並利用該網站作為中繼站與惡意程式之下載站 入侵政府機關內部網路,並利用該機關之受駭電腦作為中繼站,進行連線控制及躲避偵測 竊取政府機關AD軟體之管理帳號密碼,以控制整個機關之帳號密碼及權限控管作業
Sony遇駭 7,700萬個資不保 聯合新聞網2011-4-28 Sony的遊戲網路服務PlayStation Network(PSN)和串流音樂服務Qriocity遭駭客入侵,7,700萬名用戶個資和信用卡資料恐怕遭竊,可能創下史上最大規模的網路個資偷竊案 Sony在美國PS的部落格上寫道:一名「非法且未得到授權的人士」取得用戶的姓名、地址、電郵、生日、密碼和登入資訊等。發言人賽柏表示,雖然沒有證據顯示信用卡資料也遭竊,但不排除有此可能 資安研究業者Ponemon研究所估計,在個資遭竊案中,每筆資料的處理成本去年平均要318美元,比起2009年增加48%。按照此計算,Sony這次恐怕要付出逾240億美元代價
竊5千萬筆個資 馬扁「搜」得到 聯合報 2008-08-27 國安大漏洞!刑事局昨天破獲兩岸駭客聯手入侵政府機關網站盜取個人資料、販賣牟利,包括現任總統馬英九、卸任總統陳水扁和王卓鈞、侯友宜等國安情治首長的個人資料,只要花300元,全都一覽無遺。警方說,查獲的資料庫多達5,000多萬筆,而且「只要想到的人都有」,相當驚人! 陳光著集團至少從健保局、教育部、戶政、各家電信公司、東森購物等多處管道入侵盜取個資,同一人的個資被重複盜取,因此累計達五千萬筆,超出台灣2,300萬人口數一倍多,是歷年破獲最大宗盜取個資集團,依妨害電腦使用罪、詐欺、洗錢等罪嫌送辦 偵九隊說,入侵駭客來自大陸,以中、北部大學網站當跳板入侵政府機關
南韓3,500萬網路用戶遭駭客入侵 YAHOO奇摩新聞2011-7-28 南韓廣播通訊委員會(Korea Communications Commission, KCC)表示,網路位址登記在中國大陸駭客,已經成功駭進Nate(www.nate.com) 和Cyworld(www.cyworld.com)兩大主要網站系統,並且竊取3,500萬個用戶的私人資料 Nate是擁有2,500萬用戶的搜尋引擎,Cyworld則是擁有3,300萬用戶的社群網站。南韓總人口數是4,860萬人,因此,被的比例高達7成6 這兩大系統被竊取的私人資料,包括用戶姓名、網路ID、電話號碼、電子信箱位址,甚至居民登記證的號碼顯然也已經外洩 其中一名Nate、CyWorld的律師會員,向SK Communications索賠「精神損失費」300萬韓圜,由於法官認定SK Communications並未能充分阻擋駭客的攻擊,存在過失,因此最後判賠100萬韓圜,約2.6萬新台幣。假設3,500萬名會員皆以此標準判賠,則SK Communications可能必須付出35萬億韓圜,約9千億新台幣(資安人科技網)
駭客入侵 Zappos外洩2,400萬筆個資 資安人科技網2012-1-30 美國知名網路鞋店Zappos傳出資料外洩事件 駭客入侵Zappos伺服器、內部網路與系統,竊取約2,400萬筆客戶資料,範圍涵蓋姓名、E-mail、送貨住址、電話及信用卡號末四碼 Zappos表示,已經與執法單位合作並展開調查
LinkedIn被駭 650萬筆會員密碼外洩 資安人科技網2012-6-11 商業社群網站LinkedIn爆出會員資料遭駭 有人在俄國論壇張貼650萬筆LinkedIn會員的密碼,之後有許多用戶在Twitter上表示,發現自己的密碼出現在被公布的清單中 LinkedIn於6/6首度公開承認,有駭客入侵到他們的資料庫,並竊取部分用戶的密碼
美大學遭駭客入侵 30萬筆師生資料外洩 西北佛羅里達州立學院(Northwest Florida State College, NWFSC)將近30萬筆學生、教職員資料遭到駭客竊取,被竊資料除個人基本資料外,也包含銀行與帳號等財務資訊
花旗也遇駭 20萬個資外洩 聯合新聞網2011-6-10 英國金融時報報導,花旗集團(Citigroup Inc.)電腦遭駭客入侵,北美地區約20萬筆花旗卡客戶資料可能流入駭客手中 駭客入侵花旗信用卡的線上帳戶網站(Citi Account Online),該處存有持卡人基本資料,包括姓名、帳號、電郵地址等 專家指出,金融機構的資訊安全防護通常比一般企業更嚴密,這次駭客入侵花旗相當不尋常。持卡人近期必須注意信用卡有無可疑消費紀錄;好消息是,若信用卡被盜刷,花旗會賠償損失
台新近2萬筆個資流竄黑市 研判2008年外洩事件造成 資安人科技網2011-12-26 警方在偵辦詐騙集團時,竟然在嫌犯電腦中發現將近2萬筆個人資料,範圍包括姓名、身份證字號、電話、地址,且大部分都是台新銀行的現金卡申請資料,填寫時間大約在2003-2005年之間
玉山銀1.6萬筆個資外洩 重罰400萬 聯合新聞網2010-12-10 玉山銀行「網路銀行」99年4月遭到駭客入侵,超過一萬六千筆客戶資料因此外洩,金管會認為玉山銀行「未落實資安控管」,重罰玉山銀行4百萬元 這也是「網路銀行」崛起之後,最大規模的駭客入侵事件。不過,駭客只偷走存戶個人資料,玉山網路銀行客戶的存款,並未發現異常狀況 玉山銀行指出,這次的資訊安全管理缺失,是99年4月發現,目前已改善完成;而且使用個人網路銀行,顧客需事先到銀行櫃台約定帳號,才能轉帳,顧客存款百分之百安全,請顧客放心
美國伯靈頓市府系統遭駭 市民與員工個資外洩 資安人科技網2012-10-22 美國伯靈頓(Burlington)市的市府付費系統驚傳駭客入侵,竊走該市府於美國銀行的帳戶資料,及至少40萬美元的存款,雖然美國銀行已經將該帳戶凍結,但駭客很可能拿被竊走的資料做進一步運用 本次事件影響範圍包括參與伯靈頓市府電子轉帳計畫的員工,以及使用該市自動轉帳服務的居民。當地官員Bryan Harrison表示,由於駭客入侵市府的公用事業付費系統,因此所有使用自動轉帳服務的用戶個人資料,包括姓名、銀行帳戶、銀行代碼等資訊,也都可能已經被駭客竊走。
二手硬碟藏個資! 落實銷毀程序以免外洩資料 資安人科技網2012-3-5 買來的二手硬碟,竟然裝著滿滿的個人資料?!日前有民眾向立委陳情,自市場上採購的中古硬碟,不但沒有格式化,還存放著某家銀行與客戶往來的業務資料,銀行局表示已著手調查中 這些內含民眾個資的相關報表可從硬碟直接存取,提供硬碟的陳情民眾表示沒有透過還原軟體還原 另有未經證實的消息指出,這些資料原始來源是銀行,但硬碟本身是來自民間某債務整合業者
玩「臉書」遊戲 個資會外洩 自由時報電子報 2010-10-19 華爾街日報調查指出,社交網站「臉書」(Facebook)上許多最受歡迎的應用程式,可能把用戶的身分傳送給數十個廣告及網路追蹤公司,數以千萬計的臉書應用程式使用者可能受到影響,就連把個人隱私設定至最嚴格等級的用戶個資也可能外流。這種作法已違反臉書的保密規定,並再度引發外界質疑該公司未全力保障用戶的網路活動不對外公開 臉書最受歡迎的10種應用程式,如「農場鄉村」(FarmVille)、「德州撲克」(Texas Hold’em)等,會把用戶的姓名提供給其他公司,「農場鄉村」甚至會把用戶朋友的個資提供出去 有些應用程式會把臉書用戶身分號碼提供給至少25家廣告與情報公司,這些公司則透過追蹤用戶的網路活動來建立起個人檔案資料庫
九成九Android裝置 用戶個資恐外洩 自由時報電子報2011-5-18 據德國烏爾姆大學(Ulm University)發表的研究報告中顯示,發現搭載Android系統的行動裝置,將會導致用戶個資在使用無線網路服務時,任由駭客入侵竊取資料,其中又以Android 2.3.3以前的版本最為嚴重 研究人員表示,駭客可以輕易的進入用戶手機中,竊取用戶於手機上網服務中登入的網站帳號資料,包括登入Facebook、Twitter或Google提供的網路服務等 目前,Android 2.3.3以前的版本已被測試出潛藏被駭危機,而在Android 2.3.3以後的版本,因系統已修正多數服務會透過明碼傳遞用戶帳號的漏洞,故仍屬安全範圍
Wi-Fi假熱點 駭客竊旅客個資 民視新聞2010-12-16 等飛機或轉機的空檔,不少人會打開筆電上網,不過你可知道?你的隱私可能會因此被人看光光,曾因為當網路駭客入獄、服刑2年的葛瑞格,向CNN記者示範,要取得別人的個資有多簡單 他設定的洛杉磯國際機場假Wi-Fi熱點,馬上引來一堆人連線上網,這時候,你在網路上的一舉一動,完全逃不出駭客的眼睛,更惡劣的駭客,還會在別人的電腦裡安裝間諜軟體,如影隨形
你的個人資料安全嗎? 我的資料儲存在哪裡? 別人如何使用我的資料? 哪些人看過我的資料? 我的隱私是否有受到保障? 個人隱私資料可能儲存在 不只一個單位檔案裡?
個人資料使用在哪裡? 向政府機關申辦各項業務時 與金融機構往來時 購物時 成為活動會員時 商業促銷活動時 報稅、行駕照申請、戶籍登記與變更、醫院看診等 與金融機構往來時 申辦信用卡、開立帳戶、申辦貸款、利用電話及網路查詢金融資料或轉帳、辦理投保業務等 購物時 申辦手機門號、信用卡刷卡購物、旅遊服務、結付帳單、慈善公益捐款、電視購物、郵購或網路購物等 成為活動會員時 健身俱樂部、政黨團體、網站會員、公益團體等 商業促銷活動時 廠商抽獎活動,領取免費獎品、參觀展覽等
如何取得我的個人隱私資料? 戶政資料 網路硬碟空間 交通運輸 網路論壇 交通監理站 百貨公司會員資料 保險公司 電視購物、郵網購 醫院住院紀錄 銀行、信用卡 參與政黨組織 慈善公益機構 命理資料 寺廟組織… 網路硬碟空間 網路論壇 百貨公司會員資料 電視購物、郵網購 訂閱雜誌、書報資料 稅務資料 學校單位 工作組織單位 俱樂部會員 飯店、旅遊資料
個人資料保護法 規範個人資料之 蒐集、處理及利用 避免 人格權受侵害 資料合理流通 取得平衡的衡量基準 促進 個人資料保護法
個人資料保護法修法歷程 電腦處理 個人資料保護法 施行日期 總統令公布 個人資料保護法 公布個人資料保護法施行細則 立法院通過 有限適用範圍與主體 全面適用 101年10月1日 84年8月11日 99年4月27日 99年5月26日 101年9月26日 電腦處理 個人資料保護法 施行日期 總統令公布 個人資料保護法 公布個人資料保護法施行細則 立法院通過 個人資料保護法修正 30 30
個人資料保護法主要挑戰(1/2) 當事人對個人資料的自主權(第3條) 告知義務(第8條) 通知義務(第12條) 查詢或請求閱覽 請求製給複本 請求補充或更正 請求停止蒐集、處理或利用 請求刪除 告知義務(第8條) 直接蒐集他人個資,要在向當事人蒐集前就要進行告知;如間接蒐集他人個資,則要處理或利用前進行告知 通知義務(第12條) 違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人
個人資料保護法主要挑戰(2/2) 損害賠償責任(第28條) 舉證責任(第28、29條) 當發生違反個資法致當事人受有損害時,每人每一事件可請求500元以上2萬元以下之損害賠償,同一事實造成多數人受侵害時,賠償上限為2億元 舉證責任(第28、29條) 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限
第三章 非公務機關對個人資料之蒐集、處理及利用 個人資料保護法相關條文 第一章總則 第1~14條 第二章 公務機關對個人資料 之蒐集、處理及利用 (第15~18條) 第四章 損害賠償及團體訴訟 (第28~40條) 第五章 罰則 (第41~50條) 第三章 非公務機關對個人資料之蒐集、處理及利用 (第19~27條) 第六章 附則 (第51~56條) 33
個人資料範圍 自然人 個人資料檔案: 依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合 個人資料 姓名 出生年月日 身份證統一編號 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 醫療 基因 性生活 健康檢查 犯罪前科 聯絡方式 財務情況 社會活動 直接識別該個人之資料 間接識別該個人之資料 個人資料 34
特種個人資料 特種個資: 不得蒐集、處理或利用 自然人 特種個資 除非符合下列情形之一: 法律明文規定 公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施 當事人自行公開或其他已合法公開之個人資料 公務或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序 自然人 姓名 出生年月日 身份證統一編號 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 醫療 基因 性生活 健康檢查 犯罪前科 聯絡方式 財務情況 社會活動 直接識別該個人之資料 間接識別該個人之資料 特種個資 特種個資: 不得蒐集、處理或利用 35
個資法之適用範圍 當事人 公務機關 非公務機關 指個人資料之本人 依法行使公權力之中央或地方機關或行政法人 看起來只要是 ”活”的通通有獎 公務機關 依法行使公權力之中央或地方機關或行政法人 非公務機關 公務機關以外之自然人、法人或其他團體 還好沒有我的事… 36
個資法之規範範圍 蒐集 處理 國際傳輸 利用 以任何方式取得個人資料 為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送 國際傳輸 將個人資料作跨國(境) 之處理或利用 不適用個人資料保護法之情形(第51條) 利用 將蒐集之個人資料為處理以外之使用 自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料 例如:親友通訊錄 公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料 例如:公用道路旁的監視器 37
該原因事實所涉利益超過新臺幣二億元者以該所涉利益為限 違反個資法之罰則 每人每一事件新台幣五百元以上,二萬元以下 新台幣二億元為限 違反個資法 致侵害當事人權利者,民事賠償每人每一事件 同一原因事實造成多數當事人權利受侵害,合計賠償總額 第41~43條 違反……或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金…… 第44條 公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一 被害人不易或不能證明其實際損害額時 該原因事實所涉利益超過新臺幣二億元者以該所涉利益為限 38
個人資料保護法修正重點(1/5) 擴大保護客體 普遍適用主體 為落實對個人資料之保護,將保護客體予以擴大,將非經電腦處理之個人資料(即人工資料)一併納入保護 普遍適用主體 刪除非公務機關行業別之限制,使任何自然人、法人或其他團體,除為單純個人或家庭活動之目的而蒐集、處理或利用個人資料外,皆須適用本法 公務機關及非公務機關,在中華民國領域外對中華民國人民蒐集、處理或利用個人資料者,亦適用本法
個人資料保護法修正重點(2/5) 增修行為規範 增訂醫療、基因、性生活、健康檢查及犯罪前科等五類資料為特種資料,除符合法定要件外,原則上不得蒐集、處理或利用 書面同意內涵明確化,特定目的外利用個人資料需當事人書面同意者,應另以單獨書面同意方式為之 不論是直接或間接蒐集資料,除符合得免告知情形者外,均須明確告知當事人蒐集機關名稱、蒐集目的、資料類別、利用方式、資料來源等相關事項 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除或停止蒐集、處理或利用其個人資料 從事商品行銷之非公務機關,應於首次行銷時免費提供當事人表示拒絕之方式
個人資料保護法修正重點(3/5) 強化行政監督 促進民眾參與 為加強防制個人資料之濫用,中央目的事業主管機關或直轄市、縣(市)政府,發現非公務機關違反本法規定或認有必要時,得派員攜帶執行職務證明文件,進入檢查,如發現有違法情事,並得採取必要處分 促進民眾參與 為結合民間力量,發揮本法保護個人資料之功能,財團法人或公益社團法人符合本法規定者,得提起團體訴訟,以協助隱私權益遭侵害之當事人進行民事或行政救濟
個人資料保護法修正重點(4/5) 調整責任內涵 民事責任:提高基於同一原因事實應對當事人負損害賠償責任之總額2億(被害人不易或不能證明其實際損害額時,得請求法院依侵害情節以新臺幣5 百元以上2 萬元以下計算) 刑事責任:非「意圖營利」者得科處2年以下有期徒刑(告訴乃論);「意圖營利」者得科處5年以下有期徒刑(非告訴乃論) 行政責任:非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,並應課以同一額度之罰鍰,以加強其監督之責任
個人資料保護法修正重點(5/5) 隱私保護與新聞自由之平衡 本法乃個人資料保護之基本法律,惟新聞自由的尊重,乃現代民主國家的重要表徵,為期兼顧「個人隱私」與「新聞自由」之平衡,對於大眾傳播業者基於新聞報導之公益目的而蒐集個人資料,自得免為告知當事人;另外,與公共利益有關或個人資料取自於一般可得之來源者,非公務機關對個人資料亦得為蒐集或處理
個資法施行細則修正重點(1/5) 建立間接識別個人資料之標準(第3條) 界定敏感性個人資料之概念(第4條) 明定以間接方式識別個人資料之意義及提供不能識別個人資料之判斷標準 界定敏感性個人資料之概念(第4條) 定義病歷、醫療、基因、性生活、健康檢查及犯罪前科之概念,以加強敏感性個人資料之保護
個資法施行細則修正重點(2/5) 界定委託機關之權責(第7、8條) 界定書面意思表示之方式(第14條) 受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之 委託機關應對受託者為適當之監督 界定書面意思表示之方式(第14條) 依電子簽章法之規定,得以電子文件為之
個資法施行細則修正重點(3/5) 界定單獨所為書面意思表示之方式(第15條) 告知義務之方式(第16條) 將個人資料為特定目的外之利用,如經當事人書面同意,而其書面意思表示如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認其同意 告知義務之方式(第16條) 蒐集個人資料告知義務之告知方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之
個資法施行細則修正重點(4/5) 適當安全維護措施(第12條) 配置管理之人員及相當資源 界定個人資料之範圍 個人資料之風險評估及管理機制 事故之預防、通報及應變機制 個人資料蒐集、處理及利用之內部管理程序 資料安全管理及人員管理 認知宣導及教育訓練 設備安全管理 資料安全稽核機制 使用紀錄、軌跡資料及證據保存 個人資料安全維護之整體持續改善
個資法施行細則修正重點(5/5) 「公共利益」 為開放性之不確定法律概念 為能因應所有的人、事、物,並保留個案審認之彈性,法務部採納專家學者之建議,不界定公共利益之意涵或判斷標準 新聞媒體如何適用公共利益之概念,司法院釋字第六八九號解釋已闡明「有事實足認特定事件屬大眾所關切並具一定公益性之事務,而具有新聞價值」之意旨,自得以該號解釋為依據而為適用
個人資料保護法預定修正條文 第6條:「特種個人資料」之適用要件過嚴 增列病歷為特種個人資料 增列「為維護公共利益所必要」、「經當事人書面同意」兩款理由 第41及54條:非意圖營利而違反本法規定,原則以民事損害賠償、行政罰等救濟為已足 現行非意圖營利而違反本法規定,處2年以下有期徒刑,較外國立法例重,各界認有違比例原則,爰將刑事處罰刪除 第54條:間接蒐集個人資料,應於1年內告知當事人,時間過於急迫,且造成企業成本增加 原定1年內完成告知之期限規定,於實際執行上有困難,參考各界及金管會建議,修正為蒐集者應於處理或利用前,告知當事人
個人資料保護法暫緩施行條文 第6條:「特種個人資料」之適用要件過嚴 第54條:間接蒐集個人資料,應於1年內告知當事人,時間過於急迫,且造成企業成本增加
個人資料保護法之因應措施 明瞭個資法相關規定 建立個人資料管理制度 執行個人資料清查與衝擊分析、風險評鑑 採取有效的方法保護及管理個人資料 加強保障人民之資訊請求權
法務部個人資料保護管理要點 規定 說明 壹、總則 第一章章名 一、法務部(以下簡稱本部)為落實個人資料之保護及管理,特設置本部個人資料保護管理執行小組(以下簡稱本小組),並訂定本要點。 明定訂定本要點及設置法務部個人資料保護管理執行小組之目的。 二、本小組之任務如下: (一)本部個人資料保護政策之擬議。 (二)本部個人資料管理制度之推展。 (三)本部個人資料隱私風險之評估及管理。 (四)本部各單位(以下簡稱各單位)專人與職員工之個人資料保護意識提升及教育訓練計畫之擬議。 (五)本部個人資料管理制度基礎設施之評估。 (六)本部個人資料管理制度適法性與合宜性之檢視、審議及評估。 (七)其他本部個人資料保護、管理之規劃及執行事項。 明定執行小組之任務。 三、本小組置召集人及執行秘書各一人,由部長指定之;委員十一人由各單位指派專人(科長以上)一人擔任。 本小組幕僚工作由本部法律事務司辦理;為強化幕僚功能,協助辦理幕僚工作,並得邀請本部各單位人員參與幕僚作業。 鑑於公務機關在個人資料保護及管理上事權統一之重要,爰明定本小組召集人、執行秘書及委員之組成,及幕僚工作之負責單位,以利有效推動個人資料保護相關事務。 四、本小組會議視業務推動之需要,不定期召開,由召集人主持;召集人因故不能主持會議時,得指定委員代理之。 本小組會議開會時,得邀請有關業務單位、所屬機關人員、相關機關代表或學者專家出(列)席。 明定本小組會議召開之期間、主持人及得 邀請出列席之人員。 資料來源:http://www.moj.gov.tw/public/Attachment/01217148267.pdf
個人資料之項目彙整表範本 項目 單位名稱 個人資料檔案名稱 法律依據 特定目的 個人資料類別 個人資料之範圍 有否特種資料?何種特種資料? 有無監督管理之非公務機關及其名稱(現行法) 有無監督管理之非公務機關及其名稱(修正草案) ○ ○ 法務部國家賠償法研究修正專案小組委員聯絡名單 法務部組織法第10條第3款、法務部處務規程第6條第2款 011立法或立法諮詢 C001 C003 C011 C038 姓名、職業、職稱、地址、身分證字號、電話、電子郵件地址、性別 無 資料來源:法務部法律事務司 53
編定公務機關個資保護執行程序暨考核作業手冊 建置公務機關個人資料保護管理機制 監督機制 個資保護內部管理程序 委外管理基準 編定公務機關個資保護執行程序暨考核作業手冊 54
公務機關個資保護執行程序 委託關係 蒐集 處理 利用 確認資料種類 刪除 蒐集要件 告知義務 安全維護 符合特定目的 接受當事人行使權利 查詢 閱覽 製給複製本 補充 更正 停止蒐集處理利用 採行適當資料檔案之安全措施(防止被竊取、竄改、毀損、滅失、洩漏) 個人資料檔案安全維護計畫 業務終止後個人資料處理方法 建立管理作業流程 法規要求 中央目的事業主管機關得指定非公務機關訂定 55
建置個資保護制度體系 個人資料保護 個人資料保護法 資訊安全 施行細則 及相關法規命令 機關管理要點及相關行政規則 、產業標準指針 機關標準作業流程及書表格式、 企業內部規範及流程書表
個人資料保護相關問題 個資法 6W1H Where Who Why What When Which How 為何我要在乎 個資法? 那些範圍須受到規範? Where 那些人須 受到規範? Why Who 施行時程? 要保護什麼 個人資料? What When 我該做什麼? Which 個資法 6W1H 我要如何做? How 57
個人資料保護生命週期 蒐集 儲存 管理 技術 稽核 個人資料 處理 銷毀 傳輸 利用 規劃 執行 改善 檢查 程序 政策 運作 控制 加密 存取 流程 防禦 審查 矯正 監督 檢查 個人資料 處理 銷毀 傳輸 利用
個人資料保護整體發展架構 運行 導入 散布 補強 國際個資管理發展趨勢、標準、作法 個資項目盤點 與隱私衝擊評鑑 個資風險評鑑 - OECD Privacy Principals - APEC Privacy Framework - ISO 22307 (FS-PIA) - ISO 27001 - ISO 27005 ISO 29100 ISO 27001 / ISO 20000 NIST SP800-122 / 53 - BS 10012 個資項目盤點 與隱私衝擊評鑑 - What (個資盤點) - Where (個資來源) - Why (使用目的) - Who (利害關係人) - How (個資流程) 個資風險評鑑 - 個資分類分級 風險評鑑結果 (普、中、高) - 風險處理對策 - 風險處理計畫 運行 導入 個資管理與防護 - 個人資料保護管理要點 - 個資保護流程與安全措施 - 個資蒐集 - 個資儲存 - 個資處理 - 個資傳輸 - 個資銷毀(淨化) Personal Identifiable Information, PII (可識別 之個人資料) 散布 PDPS P D C A 補強 - 個人資料保護法 - 個資法施行細則 - 資訊系統分類分級與 鑑別機制參考手冊 - 資訊系統分類分級與 鑑別機制參考手冊 -資訊系統風險評鑑 參考指引 - 個資法施行細則 - 電子資料保護參考指引 - 安全控制措施參考指引 國內個資相關法律、規範、標準、指引 59
個資保護流程 行政檢查 當事人 權利行使 違法之後果 確認個人資料種類 蒐集 處理 利用 國際傳輸 業務終止處理 符合特定目的 安全維護 蒐集要件 告知義務 安全維護 業務終止處理 符合特定目的 60 60
個資保護管理建置流程(1/2)
個資保護管理建置流程(2/2) 個資保護管理建置流程主要在強化個人資料保護,提供建立個資管理系統之參考 個資保護建置流程分為規劃、執行、檢查及行動等四個階段 各階段分別有不同的活動(Activity)進行,例如個資管理組織架構、個資項目盤點、個資隱私衝擊分析與風險評鑑、個資管理流程及技術控制措施建立等 各項活動中又有許多任務(Task)需要執行 過程中可能需要各種不同資訊的提供,再輔以各種執行手法與相關工具,完成該項任務 任務如有產出將可能成為其他任務或活動執行時所需參考之資訊
活動與任務(Activity & Task) 規劃階段-活動與任務(1/2) 活動與任務(Activity & Task) Activity1:個資管理組織架構 Task1:瞭解組織現行架構(含單位別與功能性)和人員角色職責 Task2:定義個資管理組織 Task3:定義個資管理組織人員角色職責 Task4:建立個資管理政策與要點 Task5:發布個資管理組織架構 Activity2:外部環境分析 Task1:瞭解個資管理相關法令、規範、準則等之遵循需求 Task2:瞭解個資管理相關國際標準、原則等之遵循需求 Task3:外部利害關係人分析 Activity3:內部環境分析 Task1:瞭解現有管理制度內容與應用範圍 Task2:內部利害關係人分析 Task3:分析個資管理涵蓋範圍 Task4:定義組織個資管理導入各階段範圍 Activity4:作業流程分析 Task1:分析服務目錄與服務等級協議 Task2:分析業務作業流程 Task3:分析委外作業流程 Task4:定義和個資相關之流程與應用系統範圍 Activity5:個資管理現況評估 Task1:進行組織個資管理現況評估 Task2:分析個資管理現況評估資料 Task3:產出組織個資管理現況評估分析結果
活動與任務(Activity & Task) 規劃階段-活動與任務(2/2) 活動與任務(Activity & Task) Activity6:個資項目盤點 Task1:識別不同作業流程之個資項目 Task2:識別個資項目之類別、依據及目的 Task3:識別個資項目相關生命週期活動 Task4:識別個資項目與外部利害關係人之關聯 Task5:完成個資項目盤點 Activity7:個資衝擊分析 Task1:設計個資衝擊分析檢核表 Task2:進行個資項目衝擊分析 Task3:識別處理個資之應用系統,並進行應用系統個資衝擊分析 Task4:完成個資衝擊分析 Activity8:個資風險評鑑 Task1:分析個資項目/應用系統之個資風險等級基準值 Task2:評估個資項目/應用系統個資風險等級 Task3:完成個資風險評鑑 Activity9:安全控制措施規劃 Task1:評估所需資源 Task2:規劃安全控制措施 Task3:確認安全控制措施規劃內容
規劃階段-相關產出(1/7) 個資管理組織與角色職責分工(範例) 組織架構角色 工作職掌 召集人 ▪擔任個資與隱私保護之召集人,統籌決策及執行組織資訊安全與個資與隱私保護管理業務之資源整合運用 個資保護專責人員 ▪協助召集人推行個資管理 ▪依相關法令辦理安全維護及保管事項 個資保護聯絡窗口 ▪機關對外之個人資料保護業務聯繫協調 ▪重大個人資料外洩事件單一聯繫窗口 個資保護規劃小組 ▪協助召集人與個資保護專責人員推行執行個資管理活動 ▪傳達召集人之決策,以貫徹個資管理 個資保護應變小組 ▪個人資料事故處理與應變相關資源之規劃與取得 ▪個人資料事故通報、處理及應變相關活動內外部聯繫與協調 個資保護文件管制小組 ▪核定之個資保護文件登錄、發行、保存等相關管理工作 個資保護稽核小組 ▪研提年度個資與隱私保護管理稽核計畫 ▪配合年度稽核計畫執行相關稽核活動並提供改善建議事項予召集人 各單位專責人員 ▪落實個資與隱私保護相關作業規範 ▪配合執行或參加個資與隱私保護相關教育訓練 委外廠商與相關人員 ▪遵循組織制定之個資保護與隱私政策與相關作業規範 ▪配合組織辦理之個資與隱私保護管理稽核活動
規劃階段-相關產出(2/7) 個資盤點表(範例) 個人資料欄位 業務或服務作業流程 個人資料檔案基本資訊 間接識別的欄位 服務目錄或流程名稱 子流程名稱 個人資料檔案名稱 姓名 生日 身分證號 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 醫療 基因 性生活 健康檢查 犯罪前科 聯絡方式 財務情況 社會活動 直接識別 間接識別 機關網站 會員註冊與單一登入 會員註冊資料(直接蒐集) Y N 帳號申請 帳號申請資料(初次申請)
規劃階段-相關產出(3/7) 個資盤點表(範例) 業務或服務作業流程 個人資料檔案基本資訊 服務目錄或 流程名稱 子流程名稱 個人資料檔案名稱 保有 單位 檔案型態 保有依據 特定目的 個人資料 類別 機關網站 會員註冊與單一登入 會員註冊資料(直接蒐集) 資訊單位 數位檔 065 C001, C011, C038, C052 帳號申請 帳號申請資料(初次申請) 影像檔 002 C001, C003 業務或服務作業流程 個人資料檔案名稱 利害關係人 服務目錄或 流程名稱 子流程名稱 當事人 組織內部 委外 供應者 其他 機關網站 會員註冊與單一登入 會員註冊資料(直接蒐集) 民眾、公務員 資訊處 維運團隊 無 SSO介接之系統相關人員 帳號申請 帳號申請資料(初次申請) 公務員 客服團隊
規劃階段-相關產出(4/7) 個資盤點表(範例) 個人資料檔案生命週期活動 業務或服務作業流程 個人資料檔案名稱 服務目錄或流程名稱 子流程名稱 蒐集方式 蒐集者 蒐集介面 儲存位置 複本或備份或異地備援位置 法定保存期限 自訂保存 期限 連結或內部傳送對象與方式 刪除或銷毀方式 國際傳輸對象與方式 機關網站 會員註冊與單一登入 會員註冊資料(直接蒐集) 直接 維運團隊(申請者自行線上登打) 機房-機關網站資料庫 備份機房 N/A 持續使用之帳號永久保存;另將調整「5年間未使用帳號予以刪除」 與網站進行單一登入介接之系統;應用程式與應用程式之間傳輸 刪除DB資料 帳號申請 帳號申請資料(初次申請) 客服團隊 傳真/email客服 客服團隊留存於mail server/fax server 主機備份於同大樓,由IT部門管理人控管 永久保存 (自訂);email為12個月(合約規範)
規劃階段-相關產出(5/7) 個資風險等級基準值建議(範例) 參考項目 個資風險等級 普 中 高 含有個資類別 未具有任何個資,或僅含有姓名、公務電話、公務傳真、公務email等公務個資,且公務個資筆數不超過特定筆數(依機關需求自行訂定) 含有一般個資,如姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業等「個人資料保護法」定義之個人資料數量在特定筆數(依機關需求自行訂定)以下,或公務個資數量超過特定筆數(依機關需求自行訂定)(含)以上 含有特種個資,如有關醫療、基因、性生活、健康檢查及犯罪前科之個資,或含有一般個資之資料筆數超過特定筆數(依機關需求自行訂定) (含)以上 NIST SP800-122「個人可識別資訊機密性保護指引」之衝擊等級判定方式 若個資之機密性、完整性及可用性被破壞時會對本機關組織、資產或人員造成有限的傷害(可能輕微影響本機關聲譽、但不會造成任何財務損失或遭受訴訟之情事) 若個資之機密性、完整性及可用性被破壞時會對本機關組織、資產或人員造成傷害(可能會影響本機關聲譽、財務損失或遭受訴訟,但不至於對本機關業務之持續運作造成重大影響) 若個資之機密性、完整性及可用性被破壞時會對本機關組織、資產或人員造成重大傷害(非常可能嚴重影響本機關聲譽、重大財務損失或重大訴訟,且可能造成本機關主要業務中止) 「資訊系統分類分級與鑑別機制」影響構面與個資項目價值對應 「資料保護受到損害」、「影響法律規章遵循」、「損害本機關信譽」三者影響構面之安全等級皆為普或安全等級為中者不超過一項 「資料保護受到損害」、「影響法律規章遵循」、「損害本機關信譽」三者影響構面的安全等級皆無高,且其中二項安全等級為中 「資料保護受到損害」、「影響法律規章遵循」、「損害本機關信譽」三者影響構面之安全等級皆為中,或「資料保護受到損害」、「影響法律規章遵循」、「損害本機關信譽」三者影響構面之其中一項安全等級為高者
「資訊系統分類分級與鑑別機制」影響構面與個資項目價值對應 規劃階段-相關產出(6/7) 個資衝擊評鑑結果(範例) 業務或服務作業流程 個人資料檔案名稱 PIA/RA安全控制項目基準值 個資性之風險等級 服務目錄或流程名稱 子流程名稱 含有個資類別 NIST SP800-122之衝擊等級判定方式 「資訊系統分類分級與鑑別機制」影響構面與個資項目價值對應 機關網站 會員註冊與單一登入 會員註冊資料(直接蒐集) 高 中 帳號申請 帳號申請資料(初次申請)
規劃階段-相關產出(7/7) 個資保護技術性安全控制項目基準值建議(範例) 安全控制(NIST編號) 風險等級所對應之安全控制項目基準值建議 普 中 高 存取控制之執行(AC-3) 應建立個資處理授權表、亦應將加密應用於設備、檔案、紀錄、程式、網域等存取活動 依據風險評鑑結果與人員職責應開放必要之最小權限(除可執行之應用程式、系統功能外,亦包含可使用之通訊埠(port)、通訊協定(protocol)及服務(services));或建議結合職責分工,採用以角色為基礎的存取控制(Role-based access control)機制 應採用DLP與DRM工具,若本項個資均為特種個資,必要時應側錄使用者存取行為,並由指定之高階主管審視或抽核是否有不符合機關資安規範之行為 職責分工(AC-5) 無建議 應依據獨立性原則採用職責分工(separation of duties),譬如負責系統管理者(如administrator)不應同時負責管理系統日誌(log) 請參閱本控制項基準值為「中」之控制措施 最低限度存取(AC-6) 請參閱「職責分工(AC-5)」基準值為「中」之控制措施說明 遠端存取(AC-17) 遠端存取管制範圍除與機關之外部連線外,亦包含使用者於機關非使用本機登入 遠端存取應使用加密線路以確保傳輸資料之機密性與完整性 使用者資訊共享(AC-21) 個資不應儲存於共享資料夾 儲存於資料庫之密碼與機密/特種個資建議採用SHA-1雜湊演算法之輸出值儲存 可攜式行動裝置之存取控制(AC-19) 可攜式行動裝置包含外接儲存設備(如USB隨身碟、外接硬碟)、含有資料儲存功能之可攜式行動運算/通訊設備(如筆記型電腦、PDA、行動電話、數位相機、錄音筆等) 機關應限制可寫入與可攜式媒體之使用(僅授權人員得使用)
個資管理防護技術架構 個資管理之防護技術架構,包括對於個資保護生命週期不同階段活動之安全措施項目、整體環境之身分識別與存取管理以及基礎設施網路安全管理等 資料來源:個人資料保護參考指引 72
個資保護技術安全控制項目(1/5) AC-3 存取控制之執行 機關可透過對存取控制政策的建構及存取控制之執行(例如使用存取控制表),以達到控制個資存取的目的。控制存取之執行還包括對儲存資料的加密,以防止因遺失可攜式行動裝置而導致政府資料外洩的嚴重後果 AC-5 職責分工 機關在設計存取個資的控制時,亦可採用職責分工的概念,將工作流程於資訊系統中適當切割,以避免違反獨立性原則的情況發生 AC-6 最低限度存取 機關應要求其使用者在執行某項(些)業務時,僅使用與業務相關的最低限度存取及功能(例如讀、寫、執行),同時並確認使用者僅能接觸最低數量的個資 73
個資保護技術安全控制項目(2/5) AC-17 遠端存取 組織可採用禁止或限制遠端存取的方式,控制對個資的接觸。對於核准之遠端存取,亦要確認個資在傳輸過程中予以妥善加密 AC-21 使用者資訊共享 組織於提供合約規範下的資訊共享時,應使用自動控制機制比對(確認)存取授權符合存取控制 AC-19 可攜式行動裝置之存取控制 組織對於禁止或限制個資的存取,可透過對可攜式行動裝置的使用控制來達成。由於其便於攜帶的特質,較桌上型電腦更容易產生遺失資料的風險。部分組織採取有限度地使用可攜式行動裝置。當進行遠端存取重要個資時,應確認高風險之個資不會離開組織實體保護範圍。即使個資之遠端存取經過授權核准,組織也會確認所使用之行動裝置受到適當的保護以與定期接受掃描 74
個資保護技術安全控制項目(3/5) AU-2 事件監控 機關可透過事件監控及早發現因未經授權而存取個資的行為所造成的個資外洩情形 機關可透過定期資訊系統稽核、稽核資料分析和報告適當層級主管,以及早發現與處理違反個資安全之異常行為 IA-2 使用者身分識別與證明 使用者於存取個資時應透過適當的識別與證明使用者身分。識別方式的強度取決於個資的重要性,例如美國聯邦政府要求個資遠端存取應採用二元識別方式(two-factor authentication),並需於帳號於一段時間未使用後重新登入 75
個資保護技術安全控制項目(4/5) MP-2 媒體存取 機關可限制個資透過媒體存取,媒體亦包括具有資料儲存能力之可攜式行動裝置 機關應明確標示存有個資的電子或非電子媒體,並規劃媒體應如何處理與配置 MP-4 妥善存放個資儲存媒體 機關應確認妥善存放儲有個資的電子及非電子媒體。這些媒體經確認不再使用後,應使用適當技術、方式及流程予以適當銷毀或消磁 MP-5 妥善運輸個資儲存媒體 機關應確認存有個資的電子及非電子媒體,於機關之外運輸時能得到妥善的保護,譬如將存有個資之資料進行加密或將媒體存放於上鎖的運送箱等方式 76
個資保護技術安全控制項目(5/5) MP-6 媒體淨化 機關對存有個資之電子及非電子媒體於報廢或回收加工時應確認妥善處理。例如對電子媒體要確認其已被徹底消磁 SC-9 傳輸保密 為確保個資保密及防止個資外洩,機關於個資傳輸前,應確認其已經過妥善加密 SC-28 硬碟及備份資料保護 機關對於儲存於硬碟及備份媒體中的個資應以適當方式予以加密,以達成個資保密及防止外洩的目標 SI-4 資訊系統與網路監控 機關應適當監控其資訊系統及內部網絡,以即時偵測個資於內部網路之異常傳輸 77
活動與任務(Activity & Task) 執行階段-活動與任務 活動與任務(Activity & Task) Activity1:確立人員權責角色 Task1:識別個資管理相關人員或群組角色 Task2:建立個資項目生命週期活動與個資管理角色之對應表 Task 3:識別對應表內個資管理角色細部權責定義需求 Task 4:完成人員權責角色定義 Task 5:轉換個資管理人員權責角色定義至相關應用系統權限定義 Activity 2:建立個資管理程序 Task 1:設計個資蒐集作業流程 Task 2:設計個資處理作業流程 Task 3:設計個資傳輸作業流程 Task 4:設計個資事故管理作業流程 Task 5:設計個資管理稽核作業流程 Task 6:修訂組織內部管理制度文件 Activity3:建立安全控制措施 Task1:分析個資保護技術性安全控制項目基準值需求 Task 2:規劃個人資料生命週期保護構面控制項目行動方案 Task 3:規劃整體環境身分識別與存取管理構面控制項目行動方案 Task 4:規劃基礎設施網路安全管理構面控制項目行動方案 Task 5:建置個資保護安全控制項目行動方案 Activity4:個資委外作業管理 Task 1:檢視個資委外作業契約與範圍 Task 2:調整個資委外作業契約與工作計畫書內容 Task 3:規劃個資委外作業稽核計畫 Task 4:執行個資委外作業稽核 Activity 5:宣導與教育訓練 Task 1:規劃個資認知宣導活動 Task 2:規劃個資管理認知與教育訓練計畫 Task 3:執行個資管理認知與教育訓練計畫
建立個資管理程序-個資蒐集作業流程(範例) 執行階段-相關產出(1/8) 建立個資管理程序-個資蒐集作業流程(範例)
建立個資管理程序-個資處理作業流程(範例) 執行階段-相關產出(2/8) 建立個資管理程序-個資處理作業流程(範例) 80
建立個資管理程序-個資儲存作業流程(範例) 執行階段-相關產出(3/8) 建立個資管理程序-個資儲存作業流程(範例) 81
建立個資管理程序-個資刪除、銷毀及淨化作業流程(範例) 執行階段-相關產出(4/8) 建立個資管理程序-個資刪除、銷毀及淨化作業流程(範例) 82
建立個資管理程序-個資傳輸作業流程(範例) 執行階段-相關產出(5/8) 建立個資管理程序-個資傳輸作業流程(範例) 83
執行階段-相關產出(6/8) 個資項目技術控制措施基準值評估表(範例) No Checkbox Level Control Note Yes N/A 技術控制措施類別*1)存取控制之執行 9 高 是否已採用DLP與DRM工具 若個資為特種個資,必要時應側錄使用者存取行為,並由指定之高階主管審視或抽核是否有不符合個資規範之行為 技術控制措施類別*2)職責分工 10 V 中 是否已依據獨立性原則採用職責分工 例如負責系統管理者不應同時負責管理系統日誌(log) 技術控制措施類別*3)最低限度存取 15 「職責分工」Level等級中之內容是否完全符合 技術控制措施類別*4)遠端存取 17 本機關是否已建立遠端存取之自動監控措施 確保從遠端連線至本機關資訊系統之活動均符合本機關所訂定之遠端存取政策 技術控制措施類別*5)使用者資訊共享 21 是否已禁止將個資儲存於共享資料夾 技術控制措施類別*6)可攜式行動裝置之存取控制 27 普 可攜式行動裝置若連接至本機關內部網路與資訊系統時是否已經過授權始可使用 可攜式行動裝置包含外接儲存設備(如USB隨身碟、外接硬碟)、含有資料儲存功能之可攜式行動運算/通訊設備(如筆記型電腦、PDA、行動電話、數位相機、錄音筆等)
執行階段-個資委外作業管理(7/8) 保密切結書與契約中,納入對個資法之遵循要求 契約與企劃書(或服務建議書)徵求文件(RFP)中,納入對應個資風險等級在內部流程與技術控制措施之防護基準值要求 契約與企劃書(或服務建議書)徵求文件(RFP)中,納入對委外供應者進行個資管理活動稽核之要求與權利 85
執行階段-個資管理認知與教育訓練計畫(8/8) 依據年度個資管理認知與訓練計畫,執行相關訓練活動,並定期檢討出席情形與訓練成效,以做為修正訓練計畫之參考 組織應依據認知、一般及專業3大類別,建立人員年度個資管理認知與訓練計畫表,包括各類人員年度最低學習學分時數要求 課程類別 課程名稱 學分數 實施頻率 參加對象 主管人員 個資管理 專責人員 一般同仁 認知 個資管理基礎認知課程 1.5 每年 O 個資法令規範充電課程 每半年 一般訓練 個資(蒐集)生命週期作業流程說明 1 視需要 專業訓練 個資流程與項目盤點實務課程 認知類 內容著重在建立人員對個資管理的基本認知,以及相關法規命令說明,適合所有同仁參與,新進同仁須在一年內完成個資管理的基礎認知課程 一般類 內容著重在訓練人員瞭解個資管理應有的流程與技術控制措施作業方式,適合所有同仁參與,上課同仁應先完成個資管理基礎認知課程 專業類 內容著重在培養個資管理專責人員,瞭解並熟悉個資防護系統相關活動之執行方式,與技術控制措施有關之應用系統或工具之操作與管理 86
活動與任務(Activity & Task) 檢查階段-活動與任務 活動與任務(Activity & Task) Activity1:個資管理報告檢視 Task1:彙整前一次檢視週期個資事故紀錄 Task2:彙整前一次檢視週期個資流程管理紀錄 Task3:彙整前一次檢視週期個資保護安全控制項目管理紀錄 Task4:彙整前一次檢視週期個資管理認知與教育訓練計畫執行紀錄 Task5:進行個資管理預期目標與實值之差異分析 Task6:研擬差異項目之預防與矯正行動方案建議 Activity2:個資管理稽核活動 Task1:安排個資管理內部稽核人員與職責分工 Task2:規劃個資管理內部稽核計畫 Task3:核可與通知個資管理內部稽核計畫 Task4:執行個資管理內部稽核 Task5:完成個資管理內部稽核報告 Activity3:個資事故追蹤處理 Task1:個資事故識別與登錄 Task2:進行個資事故範圍控制與調查 Task3:進行個資事故通報 Task4:擬定個資管理新增控制措施建議 Task5:完成個資事故追蹤處理
檢查階段-相關產出 稽核計畫與稽核查核表(範例) 項 次 評 核 內 容 評 核 結 果 備 註 1 項 次 評 核 內 容 評 核 結 果 備 註 1 是否已設置個人資料保護聯絡窗口並對外公告 符合 不符合 2 是否已明確訂定個人資料保護專責人員之角色職責 3 機關所保有的個人資料檔案清單內容若有異動,是否每月及時更新 4 是否定期進行所保有個人資料檔案項目之盤點 5 是否已識別所保有個人資料檔案項目之內容,例如保有單位、個人資料欄位、保有目的、類別、保存期限等 6 是否定期進行個人資料檔案之隱私衝擊與風險評估活動並識別出對應之風險層級 7 是否針對不同風險層級之個人資料檔案訂定風險管理計畫或處理程序 8 是否記錄並追蹤風險管理計畫或處理程序之執行狀態
行動階段-活動與任務 Activity4:管理組織審查會議 Activity5:個資管理改善計畫 Task1:彙整外部最新個資相關法令規範
行動階段-相關產出 預防與矯正行動方案(範例)
個資法規定之安全維護措施與參考指引 對照表 個資法施行細則(草案)規定之安全維護措施 參考指引對照 一、配置管理之人員及相當資源 3.1.1 個資管理組織架構 二、界定個人資料之範圍 3.1.4 作業流程分析 3.1.6 個資項目盤點 三、個人資料之風險評估及管理機制 3.1.7 個資衝擊分析 3.1.8 個資風險評鑑 3.2.2 建立個資管理程序 四、事故之預防、通報及應變機制 3.3.3 個資事故追蹤處理 五、個人資料蒐集、處理及利用之內部管理程序 六、資料安全管理及人員管理 3.2.1 確立人員權責角色 3.1.9 安全控制措施規劃 3.2.3 建立安全控制措施 七、認知宣導及教育訓練 3.2.5 宣導與教育訓練 八、設備安全管理 九、資料安全稽核機制 3.3.2 個資管理稽核活動 十、使用紀錄、軌跡資料及證據保存 十一、個人資料安全維護之整體持續改善 3.4.2 個資管理改善計畫
個資保護建議步驟 參考執行時程 Kick-off W0 W1 W2 W3 W4 W5 W6 W7 W8 建立個資管理組織與人員角色指派 個資管理認知訓練 建立個人資料保護管理要點 個資管理流程訓練 個資流程與項目盤點 關鍵個資系統隱私衝擊評鑑 ISMS制度強化 個資管理成熟度評估 個資項目隱私衝擊評鑑 個資風險評鑑與風險處理計畫 個資防護技術面安全措施建立 個資管理流程面作業程序建立 公告個資檔案內容 個資委外作業與合約審視 委外合約與作業程序調整或更新 個資管理紀錄保存與稽核機制建立 圖例說明 必要執行步驟 可選擇性執行步驟 92
個資安全、人人有責 資訊單位:建構安全的系統與環境 業務單位:遵守安全規定使用系統與資料 政風單位(稽核單位):依據規定稽核是否落實執行個資保護 人事單位:協助個資保護推動組織與人力建置 會計單位:協助個資保護預算籌編 法規單位:檢討相關法規命令
參考網站 法務部「個人資料保護」網頁 技術服務中心 政府資安作業共通規範 資安法律案例宣導彙編 e等公務員 全民資安推動網 http://www.moj.gov.tw/lp.asp?ctNode=28156&CtUnit=805&BaseDSD=7&mp=001 技術服務中心 http://www.icst.org.tw/ 政府資安作業共通規範 http:// www.icst.org.tw/ 點選「共通規範」 資安法律案例宣導彙編 http://www.icst.org.tw//點選「技術文獻」(再點選「法律彙編」) e等公務員 http://elearning.nat.gov.tw/ehrd2005/ 全民資安推動網 http://cybersecurity.tw/
報 告 完 畢 敬 請 指 正