▲KPMG安侯企業管理董事總經理謝昀澤(圖/資料照)
記者蕭文康/台北報導
立法院5/16日三讀通過個人資料保護法部分條文修正案,KPMG安侯企業管理董事總經理謝昀澤表示,除了修法外,要降低近期個資外洩連環爆的危機,還有包含「業者有效的個資保護落地措施」,及「民眾的資安意識」等兩項關鍵因素,才能成功拆彈。過去業者普遍存在「只要不上報就沒事」、多數消費者也有「我怎麼可能被詐騙」的僥倖心態,應該要立即調整。
KPMG指出,本次修法針對一般民間企業對消費者的個資管理,採取「提高金額處罰」、「檢查違規就罰」,及「按次連續處罰」這三個方向,並指定「個人資料保護委員會」為個資法主管機關,彰顯政府對業者「主動監理」的時刻來臨。
謝昀澤分析,近期暴雷的多起個資外洩事件,雖個案原因尚待調查,但一般業者常見的疏失不脫人員、系統與流程三大層面,如系統漏洞遭到利用、防火牆及其他雲端服務安全設定錯誤、內部管理人員或委外廠商疏失或遭社交工程入侵電腦等。近期就有網路服務業者將客戶的個人資料放在雲端,卻未妥善設置權限控管,導致不需要駭客技術的一般人,只要點選連結位址,就可以將雲端資料庫的機敏個資一覽無遺,即是一個最明顯的管理疏失案例。
實務上,業者為了因應未來主管機關高強度的主動稽查,謝昀澤認為企業除基本的防毒防駭系統外,可考慮導入資料盜失防護(DLP)等進階機制,並確實監控資料庫活動,以便及時發現異常存取行為與網路流量。管理流程上,建議依據主管機關個人資料檔案安全維護計畫,並參考國際與國內資安標準,如ISO27001(資安管理制度)、ISO27701(隱私保護制度)等規範要求,訂定兼顧數位應用需求且合於個資保護要求的措施,讓駭客或其他有心人士「進不來」企業內部、「看不懂」機敏資訊,更「帶不走」客戶資料,以高標準來管理客戶資料。特別針對近期外洩熱區產業,如網路電商、旅宿觀光、交通等業者,更需要積極備戰。
謝昀澤也提醒民眾,個人的個資保護意識,也是影響自身隱私的重大關鍵。消費者應隨時提高警覺,未經確認不任意提供資料、不開啟來路不明的電子郵件及附加檔案、不登入未經確認的陌生網站,以避免社交工程的攻擊傷害。近期各式的詐騙手法不但充滿專業性、多樣性,且非常貼近生活與時事,如每年的退稅季、旅遊季,或特定商品的熱銷季等,都是詐騙集團的大忙季,民眾應多關注165反詐騙網站所提供之最新詐騙宣導資訊。
如消費者個資外洩,是否可以求償?KPMG安侯法律事務所合夥律師鍾典晏說明,以2017年發生EZ訂(EZding)購票平臺個資外洩一案為例,被害人向該平台提告,包含被騙損失的25萬多元,以及個資法第29條規定的2萬元賠償,還有個資外洩帶來的精神慰撫金5萬元。該案經二審判定用戶遭詐欺侵權行為的損害賠償,也應付起7成責任,而最終裁定賠償18萬3,274元。鍾典晏特別提醒業者,未來如發生相關事件,業者所受裁罰尚包含修法後,主管機關另行處罰的高額罰款,企業對消費者個資的保護程度,應該立即精進。
讀者迴響