個資法對台糖公司應用系統所帶來的衝擊與防範 指導教授:吳有龍 博士 報 告 人:吳志崧 學 號:9922011
Contents Introduction 個人資料保護法 第一章:結論。主要產述本文探討的背景與目的。 緒 論 第二章 瞭解個資法 個人資料保護法 第五章 結 論 【2010.04.27日三讀通過】 【2010.05.26總統公佈】 第三章 個資法新舊比較 第一章:結論。主要產述本文探討的背景與目的。 第二章:瞭解個資法。包含個資法的保護範圍、保護對象及罰責等介紹。 第三章:個資法新舊比較。主要透過新舊法的比較,讓各位能更進一步認識個資法實施的影響所及。 第四章:應用系統之防範。以台糖公司的應用系統為例,探討新版個資法實施,系統做了哪些防護措施。 第五章:結論。是把個資法的防範因應,再做一個summary總結,跟大家報告。 第四章 應用系統之防範
研究背景與動機 「個人資料保護法」經立法院於99年4月27三讀 通過,5月26日總統公佈,擴大保護個體為所有 個人資料(包含電腦處理及人工紙本的個人資料) ,由於新法將不分行業一體適用,此外更要求企 業必須舉證說明無過失或無故意違反法律。於此 企業應該提早進行自我體檢,建立管理制度與導 入相關措施以作因應。
研究目的 個人資料保護法的的實施將對企業造成重大衝擊 ,與舊法最大的不同在於訂立明確的罰則以及舉 証責任在企業。 本研究期望,達成下列目的: 充份瞭解個人資料法條文。 台糖公司應用系統對於個資法所帶來的衝擊與防範之 道。
新版個資法研擬背景
個資法主要條文 資料保護範圍 指自然人之姓名、出生年月日、國民身分證統一編號 、護照號碼、特徵、指紋、婚姻、家庭、教育、職業 、病歷、醫療、基因、性生活、健康檢查、犯罪前科 、聯絡方式、財務情況、社會活動及其他得以直接或 間接方式識別該個人之資料(修正版第二條第一項)等 。
個資法主要條文 適用對象 保護客體與適用主體的擴大 任何自然人、法人或團體,除為單純個人或家庭活動 之目的,而蒐集、處理或利用個人資料外,皆須適用 本法。(修正條文第二條第八款及第五十條第一項) 保護客體與適用主體的擴大 包含電腦處理及人工紙本的個人資料,以及打破行業 別限制,包括所有的法人、團體及個人對個人資料之 蒐集、處理與利用均受規範。
個資法主要條文 隱私保護與新聞自由之平衡 本法乃個人資料保護之基本法律,惟新聞自由的尊重 ,乃現代民主國家的重要表徵,為期兼顧「個人隱私 」與「新聞自由」之平衡,第 2 頁,共 3 頁對於大 眾傳播業者基於新聞報導之公益目的而蒐集個人資料 ,自得免為告知當事人;另外,與公共利益有關或個 人資料取自於一般可得之來源者,非公務機關對個人 資料亦得為蒐集或處理。
個資法主要條文 民、刑事及行政責任的加重及提高 修法的另一個重點,在於調整民事、刑事與行政罰責 任內涵,同一事件民事損害賠償最高總額提高至新臺 幣2 億元,被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節以新臺幣5 百元以上2 萬元以 下計算,且為方便當事人提起救濟,新法增加團體訴 訟機制。 刑事責任主要對於意圖營利之違法行為,提高刑責至 5 年以下有期徒刑得併科新臺幣1 百萬元以下罰金, 並改為非告訴乃論。行政裁罰部分,則提高罰鍰額度 。
新版個資法有哪些改變
個資法之新舊比較 電腦處理個人資料保護法 → 個人資料保護法 保護對象:含數位化資料+人工資料 (以下簡稱舊法) (以下簡稱新法) (以下簡稱舊法) (以下簡稱新法) 保護對象:含數位化資料+人工資料 施行日期:待行政院公佈 (估計1年) 姓名: 王小花 就診: 99.06.15 科別: 小兒科 姓名: 王小明 生日: 06月06日 姓名: 王小明 生日: 06月06日 姓名: 王小花 就診: 99.06.15 科別: 小兒科 http://www.hudong.com/versionview/uAwgHUUNYUlFfWVsEDwJWRg**,檢索日期:2010.06.15 84.08.11 舊法 99.05.26 新法
個資法之新舊比較 新法擴大適用對象 新法擴大保護對象 新法擴大規範行為 新法加重罰責 行為主體 保護客體 處罰 規範行為 哪些人被規範在內? 哪些行為是個資法所禁止? 哪些人被規範在內? 【2010.04.27日三讀通過】 【2010.05.26總統公佈】 哪些是個人資料? 哪些個資項目要被保護? 如違反要受到哪些處罰?
個資法之新舊比較 擴大行為主體範圍—不再侷限於特定行業別 行為主體 公務機關 非公務機關 非公務機關 (新法第2條第1項第8款) (新法第2條第1項第7款) (本法第4條) 非公務機關 (本法第2條第1項第8款) 依法行使公權力之中央 或地方機關或行政法人 受委託行使公權力 非公務機關 (新法第2條第1項第8款) 醫院 學校 電信業 金融業 證券業 保險業及大眾傳播業 (舊法第3條第1項第7款) 前款以外之自然人、 法人或其他團體
個資法之新舊比較 擴大保護客體範圍—不再侷限於數位資料 一般性資料 敏感性資料 (病歷、醫療、基因、性生活、健康檢查) 原則:不得搜集與利用 例外:法律規定或醫療、衛生、犯罪預防目的 目前保護客體為數位資料+人工資料 自然人姓名、出生年月日 其他 犯罪前科、聯絡方式、 財務情況、社會活動 企業 團體 個人 機關 國民身分證、 護照號碼、 特徵、指紋、婚姻、 家庭、教育、職業
個資法之新舊比較 擴大保護客體範圍—不再侷限於數位資料 敏感資料(醫療、基因、性生活、健康檢查及犯罪前科) 1 2 3 4 目的:易會造成社會不安或對當事人造成難以彌補傷害。 原則:不得蒐集、 處理或利用。 例外: 1 2 3 4 法律明文規定 公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當 安全維護措施。 當事人自行公開或其他已合法公開之個人資料。 公務機關或學術研究機構基於醫療、衛生或犯罪預防目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用個人資料。
個資法之新舊比較 擴大規範行為—新增國際傳輸 規範行為 蒐集 利用 處理 (新法第2條) (新法第2條) (新法第2條) 公務機關或非公務機關將個人資料檔案為內部使用或提供第三人 (舊法第3條第1項第5款) 建立個人資料檔案而取得個人資料 (舊法第3條第1項第4款) 電腦處理 (舊法第3條第1項第3款) 任何方法取得個人資料 1.直接自當事人蒐集者 2.間接從當事人取得者 (新法第2條) 為建立或利用個人資料所為之紀錄、輸出、儲存 編輯 更正 複製、檢索、刪除、輸出、連結或內部傳送將個人 資料作為跨國境之處理 機關內部之資料傳送 (新法第2條) 將蒐集之個人資料為處理以外使用 將個人資料作為跨國境之利用 將資料提供給當事人以外之第三人 (新法第2條)
個資法之新舊比較 罰則—加重任民事、刑事、行政責任 企業、團體或個人若違反個資法,最重受刑法處罰為5年 以下有期徒刑;民事賠償最高達新台幣2億元 個資外洩 我方因應 訴訟程序 公務機關:無過失損害賠償責任(第28條) 非公務機關:舉證責任倒置之過失責任(第29條) 同一原因事實應對於當事人負損害賠償責任者, 原則上依實際能證明損賠額賠償 如無法證明時,每人每一事件500-20000元, 最高賠償額新台弊2億元為限 行為人是否有故意過失之判斷應由公正第三人判斷之 我方查明後應以適當方式通知當事人(新法第12條) 建議為降低個資外洩所造成之損害,仍應於事故發生當下先行通知當事人 刑事處罰:最重刑責5年(第41、42條) 1.犯罪行為 無營利行為 :處2年以下有期徒刑 拘役或併科NT20萬元以下罰金 意圖營利行為:處5年以下有期徒刑 拘役或併科NT100萬元以下罰金 2.告訴乃論之罪 3.處罰對象 中華民國境內或外之中華民國人民 公務人員假借職務上之權力機會或方法犯本章之罪者,加重其刑至1/2
個資風險分析-外部攻擊
個資風險分析-內部洩漏
資料外洩頻傳 卡優新聞網 更新日期:2010/11/12 05:31 電視購物詐騙手法讓一名礦工畢生積蓄化為烏有! 卡優新聞網 更新日期:2010/11/12 05:31 電視購物詐騙手法讓一名礦工畢生積蓄化為烏有! 警方指出,33歲吳姓男子今(99)年8月8日在第四台森森購物頻道,撥打電話下訂後,也如 期收到刮鬍刀。但到了10月初,被害人突然接獲自稱森森購物頻道客服人員來電,表 示當時訂購系統出狀況,導致被害人帳戶會被連續扣款12期,對方不斷道歉,並保證 會請銀行人員協助處理。 果然沒多久,又有一名自稱中國信託銀行行員打電話給被害 人,詢問他有幾家往來銀行,由於被害人從未接過詐騙電話,竟然一五一十告知對方 ,假行員見被害人上鉤,誆騙被害人銀行電腦會彼此連線,要他拿出所有銀行的提款 卡,一一操作處理,否則每個帳戶都會遭到扣款。 詐騙集團編了一套銀行「數據整合」的詐騙手法,把被害人騙得團團轉,前後共匯出 15筆現金,共計174萬元。歹徒騙光被害人積蓄還不肯罷休,最後還要求他向銀行辦理 貸款,這時被害人才察覺有異,向警方報案。 警方表示,詐騙集團這次手法翻新,謊稱銀行電腦連線,所有名下帳戶都會遭連續扣 款,造成被害人恐慌,提醒民眾接到類似電話不要輕易相信,歹徒可能利用掌握的購 物個資取信民眾,有任何疑慮,尤其對方要求轉帳或到ATM操作,一定要嚴防詐騙陷 阱,最好立即撥打165反詐騙專線查證。
資料外洩頻傳
資料外洩頻傳
資料外洩頻傳
資料外洩頻傳
應用系統之防範 資料儲存加密 資料儲放於資料庫中,對 於個資料所定義之敏感性 資料,不再以明碼方式存 於資料庫中,改以二進位 碼,再搭配對稱式金鑰 (Symmetric Key),保護資 料。 查詢資料時,需輸入金鑰 密碼,密碼相符方能得知 。
應用系統之防範 資料傳輸加密 對於委外系統,欲存取我方資料庫時,不管資料是否 為敏感性資料,一律採用Https通訊協定,搭配Web Service資料傳輸加密。 Internet 外部使用者 AP Server DB Server
應用系統之防範 資料顯示隱藏或遮碼 依據使用者權限,對於敏感性資料產生隱藏或遮碼。 資料遮碼
電子個人資料保護建議作法 電子資料加密 防火牆開啟 開機帳號及密碼 社交工程信件預防 可攜式媒體小心運用 軟體要確實更新不隨便安 裝軟體 防毒軟體安裝 取消檔案分享 螢幕保護密碼 小心網路釣魚 實體隔離 密碼強度要夠
結論 (新)個人資料個護法擴大適用對象、規範行為,甚至加重罰責, 所以需予以正視和面對,尢其是身為國營事業之台糖公司,應當 盡全力防止個人資料或檔案被竊取、竄改、毀損、滅失或洩漏, 方為保護個人資料的根本之道。。 「個人資料保護法」經立法院於99年4月27三讀通過,5月26日 總統公佈,法務部正加緊研商制定施行細則。在細則未公告之前 ,台糖公司僅就條文,擬定方向改善現在應用系統對於資料保護 。 個資法實施,讓企業最傷腦筋的問題,是舉證之責需由企業承擔 ,目前舉證是採取盡善良管理人之注意義務方式,如資料儲存加 密、資料傳輸加密、資料遮碼顯示、紀錄使用者流灠敏感性資料 等。如此的做法是否就符合企業舉證之責,尚未能確定。
參考資料 全球法規資料庫 http://law.moj.gov.tw/LawClass/LawAll.aspx?Pcode=I0050022 資安人科技網http://www.informationsecurity.com.tw/main/index.aspx I-Security網路資訊安全健檢 http://www.i-security.tw/ 法務暨公共政策辦公室 http://webcache.googleusercontent.com/search?q=cache:phyGdxTiUFUJ:e- nhi.tca.org.tw/file/DOC_20100625145519_1.ppt+%E6%96%B0%E8%88%8 A%E5%80%8B%E8%B3%87%E6%B3%95%E6%AF%94%E8%BC%83&cd =2&hl=zh-TW&ct=clnk&gl=tw 鼎新電腦新聞 http://www.dsc.com.tw/event/WB001739/WB001740/WB00174001.htm
Thank you ! 感謝指導教授及同學們的聆聽!