1 個資法對教育單位的衝擊與因應之道 達文西個資暨高科技法律事務所 主持律師 葉奇鑫 simon061@gmail.com
個人簡歷 交大電子工程系畢業,東吳學士後法律研究所碩士 1995年律師司法官考試及格 2 個人簡歷 交大電子工程系畢業,東吳學士後法律研究所碩士 1995年律師司法官考試及格 曾任板橋地檢署智慧財產權與電腦犯罪專組檢察官、法務部資訊處檢察官 2001-2005擔任法務部檢察司檢察官,起草刑法電腦犯罪專章,並曾參與 個資法、濫發商業電子郵件法、著作權法等高科技法案之研修 2005-2006 擔任台灣eBay交易安全長 2006-2008 露天拍賣第一任營運長 曾任中華龍網總經理、飛翔駱駝免費商城執行長兼創辦人 達文西個資暨高科技法律事務所主持律師 學術背景:現任東吳大學法律研究所科技法律組兼任助理教授(教授科目: 個資法及適法性查檢),曾任交通大學科技法律研究所兼任助理教授 顧問及講座:現任智慧財產局著作權法顧問、法務部個資法施行細則顧問、 台北市電腦公會法律顧問、司法院個資法及網路法律講座、台北市公務人力 發展中心講座、軟協個資法顧問訓練班講座。擁有數百場個資法、著作權法 及網路法律之演講及授課經驗。
3 大綱 個人資料保護法修法歷程 新個資法可能帶來之衝擊 個資風險之預防與治療 個資適法性查檢之實做與經驗分享 結論
4 個人資料保護法修法歷程
個人資料保護法修法歷程 新版個人資料保護法於 “2012年10月1日”實施 5 個人資料保護法修法歷程 1995年,立法院三讀通過「電腦處理個人資料保護法」草案,同年總統公布施行 2005年,法務部研擬完成「電腦處理個人資料保護法」草案,並將法規名稱改為「個人資料保護法」,並送請立法院審議 2010年4月27日立法院三讀通過「個人資料保護法」 2010年5月26日總統府公布,施行日期尚待行政院訂之 施行細則修正草案已在2011年10月27日預告 新版個人資料保護法於 “2012年10月1日”實施
6 新個資法可能帶來之衝擊
台灣舊個資法民事判決分析 7 裁判案號 被告行業別 請求權基礎 Brief 賠償金額 臺灣高等法院98年度上 易字第1229號民事判決 銀行 電腦處理個人資料保護 法第18條、第28條、民 法第184條第1項前段、 第188條第1項、第195 條 原告未曾向被告申請信 用卡,然被告於民國97 年間誤向聯合徵信中心 申報原告持用之信用卡 遭強制停卡至原告之名 譽、信用受有損害 250,000 臺灣板橋地方法院99年 度重勞訴字第10號民事 判決 證券商離職員工 民法第153條、第199 條、第184條第1項前 段、營業秘密第12條第 1項前段 被告藉職務上之機會, 取得原告未授權被告查 閱之客戶資料後離職 214,500 臺灣臺南地方法院94年 度訴字第121號民事判 決 個人、電信業者及其員 工 電腦處理個人資料保護 法第28條、民法第184 條第1項前段、第188條 第1項、第195條 被告甲為利用職務之 便,受被告乙之請託擅 自進入電腦系統查詢電 話使用人即原告之姓 名、住址相關資料,並 告知被告乙藉以確定原 告之身分 個人:150,000 電信業者及其員工 :80,000 臺灣臺北地方法院97年 度訴字第1683號民事判 決 網路書店 民法第184條第1項前段 第195條、電腦處理個 人資料保護法第28條適 用第27條 原告等於被告網站購買 台北金馬影展套票,因 被告處理疏失,竟夾帶 其餘477位註冊成功之 會員資料含會員帳號、 姓名、地址、電話、手 機、電子信箱資料,外 流到其他數百人之信箱 之中,無法追回 137,900
台灣舊個資法民事判決分析 8 裁判案號 被告行業別 請求權基礎 Brief 賠償金額 臺灣臺中地方法院94年 度重訴字第196號民事 判決 銀行及其員工 電腦處理個人資料保護 法第六條及第十八條、 第二十八條及民法第一 百八十八條之規定 被告甲利用任職被告公 司業務之機會,取得原 告申辦現金卡之個人資 料,進而利用此一資 料,冒用原告名義,辦 理變更住址及掛失補發 現金卡 100,000 臺灣臺北地方法院93年 度訴字第2455號民事判 決 徵信業者、資訊業者 電腦處理個人資料保護 法第二十七、二十八條 規定 被告乙違法蒐集將原告 之個人資料,又與被告 甲共同意圖營利,提供 被告甲之付費會員,得 透過網路超連結 方式,以每筆資料二百 元之價格付費查詢 徵信業者:100,000 資訊業者:100,000 臺灣基隆地方法院九93 年訴字第82號民事判決 證券商 未經原告同意蒐集其姓 名、地址等資料並發送 廣告信函 30,000 臺灣宜蘭地方法院羅東 簡易庭99年度羅小第56 號民事小額判決 網購賣家 民法第184條第1項前 段、第195條及電腦處 理個人資料保護法 原告於網拍上購買被告 商品,被告於評價留言 公開原告家中之系爭家 用電話號碼,使原告之 家用電話號碼遭第三者 知悉 20,000 臺灣臺北地方法院簡易 99年度北國簡字第16號 民事判決 公務機關 國家賠償法第5 條、民 法第195 條與電腦處理 個人資料保護法 被告將原告之個人資料 公布於薪給發放標準之 陳情函並予以張貼 5,000
平台個資外洩導致詐騙案件 2009/06/11日新聞 資料來源:http://tw.nextmedia.com/applenews/article/art_id/31700290/IssueID/20090611 9
10 10
11 自2007年以來,管理不善最多。 金融業最多。 洩露的人數 行業別 原因 加強組織內部的資訊管理 (支持內部控制) 11 資料來源:2000-2011 NPO日本ネットワークセキュリティ協会
日本統計洩漏人數與件數 12 所公佈的大量案件數目 (預期) 最低洩漏的人數(預期) 2010年實際洩漏1679件,共557萬9316人 (※自2005年以來) 2000~2004年的母體數據較少,故圖表將其排除在外。 12 2010年實際洩漏1679件,共557萬9316人 資料來源:2000-2011 NPO日本ネットワークセキュリティ協会
洩漏的人數與損害賠償總金額 預估最低損害賠償總金額(預期) 13 最低洩露的人數(預期) 2010年(預期) 合計/損害賠償總額(萬圓) 人數 最低洩露的人數(預期) 2010年(預期) 預估最低損害賠償總金額(預期) 2000~2004年的母體數據較少,故圖表將其排除在外。 13 資料來源:2000-2011 NPO日本ネットワークセキュリティ協会 2010年實際洩漏損失1215億7600萬日圓
台灣未來五年個資求償趨勢預測 一、日本人口是台灣人口的5.4倍。 14 台灣未來五年個資求償趨勢預測 一、日本人口是台灣人口的5.4倍。 二、日本個資法實施日期2005年4月1日,民事賠償在2007 年達到最高峰,然後逐年下降。 三、台灣新個資法正式實施日期可能在2012年下旬,預計求償 高峰在2014至2015年出現。 四、將人口數、民事賠償有無上限、是否有個資保險制度及台灣 資安水準等因子列入考慮,初估台灣在2013年個資求償之 訴訟標的可能達到新台幣50至100億,最高峰時可能達到 300至500億。
誰說只有個資外洩才要賠? 個資法第28、29條 (1)違反本法規定致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利 範圍比一般人想像的更廣(不是只有個資外洩之情形),例如:違法蒐 集,應告知未告知,應通知未通知,逾期保存或利用個資,當事人請求更 正、刪除卻未更正、刪除....等等都可能符合構成要件。 (2)公務機關採無過失責任 只要能證明個資受侵害係因公務機關造成,無論公務機關有無過失,均 有賠償責任。 (3)非公務機關舉證責任倒置 15
新個資法民事損害賠償責任 個資法第28條第3、4、5、6項 如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。 16
17 個資風險之預防與治療
個資法總覽 查詢或請求閱覽 請求製給複製本 告知義務 請求補充或更正 符合特定目的 請求停止蒐集、處理 符合法定情形 或利用 目的外之利用 請求刪除 告知義務 符合特定目的 符合法定情形 目的外之利用 當事人 權利行使 蒐集、處理、 利用 民事責任: 新台幣2億元 舉證責任倒置 團體訴訟 刑事責任: 最高五年以下有期徒刑, 併科一百萬元以下罰金 行政責任: 最高可處50萬罰緩 負責人可能一同受罰 資料安全機制 違反之責任 個人資料檔案安全維護計畫 業務終止後個人資料處理方法
這是一場武器不對等的訴訟戰! 消費者之訴訟優勢: 1. 團體訴訟成本低(第39條,提起團訴不得請求報酬) 2. 團體訴訟民氣可用,法院傾向於保護弱者 3. 公務機關無過失責任,非公務機關舉證責任倒置 4. 委外機關視為委託機關(第4條) 5. 實際損害額不易或不能證明時之舉證優勢(第28條) 19
可能須採取之因應措施 一、執行職務流程調整(適法性查檢): (一)告知義務 二、相關權責界定(適法性查檢): (二)書面同意之取得 (三)特種資料之蒐集、處理、利用 (四)當事人權利之行使 二、相關權責界定(適法性查檢): (一)委託者與受託者權利義務關係之法律檢視 (二)機關與內部員工之權責 20
三、公開查閱義務(大部分公務機關已完成): 第17條 公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查 閱; 其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 21
法務部要求之個人資料盤點格式
四、應採行適當之安全維護措施(ISMS, PIMS及適法性查檢) 23 四、應採行適當之安全維護措施(ISMS, PIMS及適法性查檢) (一)指公務機關或非公務機關為防止個人資料被竊取、 竄改、毀損、滅失或洩漏,採取技術上與組織上之 必要措施。 (二)明定必要措施之事項,包括: 1、成立管理組織,配置相當資源 2、界定個人資料之範圍 3、個人資料之風險評估及管理機制 4、事故之預防、通報及應變機制
5、個人資料蒐集、處理及利用之內部管理程序 24 5、個人資料蒐集、處理及利用之內部管理程序 6、資料安全管理及人員管理 7、認知宣導及教育訓練 8、設備安全管理 9、資料安全稽核機制 10、必要之使用紀錄、軌跡資料及證據之保存 11、個人資料安全維護之整體持續改善 (三)必要措施,以所須支出之費用與所欲達成之個人資料 保護目的符合適當比例者為限。
個資適法性查檢之實做與經驗分享 25
完整之個資查檢流程 由律師執行 第一期查檢 顧問作業 第二期查檢 發證作業 查檢準備階段 個資盤點訓練 個資查檢 管理顧問作業 個資查檢 人員認知訓練 適法性查檢 法律顧問作業 適法性查檢 技術查檢 技術顧問作業 技術查檢 管理查檢 與ISO系統整合 管理查檢 由律師執行
TUViT TSP Certificate 查檢表設計 源自德國與歐盟的適法性查檢 法律必要項查檢 管理必要項查檢 技術必要項查檢 法律 Trusted Site Privacy 隱私保護標章 技術 管理
TSP 隱私查檢證書 Certificate Content : 證書內容 Company adress 公司資料 Target of Audit (ToA) 稽核標的 Certification criteria 驗證標準 Evaluation report 檢測報告 Valid for 2 years 兩年有效期 Trusted Site Privacy Seal 提供隱私標章 © TÜV Informationstechnik GmbH – Unternehmensgruppe TÜV NORD
方法論 查檢領域 法及細則 交叉比對 確保所有 項目均被 查核 其他特別法/規範
個資盤點及保存 (蒐集、處理、利用、種類、數量、型式) 適法性查檢的十四個面向 1 個資盤點及保存 (蒐集、處理、利用、種類、數量、型式) 13 適當安全維護 2 12 委外管理 特定目的 6-1 3 特定目的外利用 告知 直接蒐集、間接蒐集 預定蒐集、處理、利用 範圍、類別、特定目的、期間 13-1 管理組織、配置資源 界定個資範圍 13-2 利用目的 適當安全維護措施 4 書面同意 電子文件、契約取得、書面 13-3 個資風險評估 利用範圍 複委託者、約定之受託人 13-4 事故通報應變 5 蒐集 6 書面同意 利用 違約通知及補救 13-5 蒐集、處理、利用程序 8 保留指示事項 13-6 資料安全、人員管理 7 公開作業 (公務機關) 處理 資料返還及刪除 13-7 認知、教育訓練 13-8 設備安全管理 9 14 13-9 資料安全稽核 其他查檢項目 當事人權利行使 13-10 紀錄、軌跡、證據保存 查詢 閱覽 補充 更正 停止蒐集、處理、利用 刪除 13-11 整體持續改善 10 11 個人資料檔案維護計畫 (非公務機關) 個人資料安全維護規定 (公務機關) 業務終止後個人資料處理方法
導出超過400項查檢項目 必要項目 法律、顧問、技術 適法性結果 Criteria 查檢項目 個資查檢結果 律師適法性法律意見
整體流程說明 技術改善 管理改善. 顧問作業 發證作業 第一期查檢 第二期查檢 個資查檢 個資複查 文件製作 個資查檢人員 個資查檢人員 TSP 個資保護標章 個資查檢人員 5 人天 個資查檢人員 4 人天 Interim meeting Vul Scan 技術弱點掃描 1 人天 技術弱點掃描 1 人天 弱掃技術報告 弱掃技術報告 律師適法性檢查 2 人天 律師適法性檢查 2 人天 改善及 矯正預防措施之證據 發證審查 第一階段查檢及建議改善報告書 第二期查檢及建議改善報告書 32
查檢流程設計- 準備階段 判定是否已達可查檢狀態 個資盤點清查說明及訓練 服務需求 查檢範圍確認 查檢標的問卷 Personal Information Inventory Report 個資盤點報告 判定是否已達可查檢狀態 服務需求 查檢範圍確認 個資盤點清查說明及訓練 Privacy Statement 隱私宣告 Notify Statement of Collection 告知函 Relevant /Basic Information of TOA 組織及查檢標的相關資訊
檢驗並強化舉証能力
舉例:告知函拆解及適法性查檢
告知函適法性拆解
追蹤資料流向之動態查檢
根據不同行業特質調整查檢方向
管理盤點範例:存取權限盤點
結論 40
個資適法性查檢解決了您什麼問題? 一、確認目前蒐集、處理、利用均為合法,如不 合法,由律師協助改進促成合法 二、提出風險評估,由稽核員及資安專家協助降 低技術及管理風險 三、阻卻刑事責任:如合法性有疑慮,由律師出 具法律意見書,阻卻故意 四、全面檢驗並改進訴訟上之舉証能力 五、降低民事損害賠償金額
更多個資法最新消息: http://davinci.idv.tw 42 Thank you 達文西個資暨高科技法律事務所 台灣第一個以個資法及適法性查檢為主要研究目標之法律事務所 更多個資法最新消息: http://davinci.idv.tw