99?~???w???????{\(??????\)

Transcription

1 亞東技術學院資安管理與個人資料保護 民國 99 年 10 月 6 日 1

2 講師介紹 葉益禎 (Ivan Yeh) 專業資歷 : 昇達價值管理公司技術總監 巨安資訊科技公司技術總監 KPMG 資訊技術顧問經理 叡揚資訊公司經理 財政部財稅資料中心駐部資訊小組聘雇人員 ISO 主導評審員訓練考試合格 (KPMG KPMG) BS 主導評審員訓練考試合格 (BSI BSI) ISO 稽核員考試合格 (itsmf itsmf) 講授經驗 : 臺灣省政府 法務部法務部 主計處資安講座 政府單位與國營事業 : 立法院 警政署警政署 臺北市政府警察局臺北市政府警察局 花蓮縣警察局花蓮縣警察局 雲林縣警察局雲林縣警察局 衛生署 健保局健保局 署立醫院與北區聯盟醫院署立醫院與北區聯盟醫院 國民健康局國民健康局 疾病管制局疾病管制局 臺北巿國稅局臺北巿國稅局 高雄市國稅局 台灣省中區國稅局台灣省中區國稅局 臺北縣稅捐稽徵處臺北縣稅捐稽徵處 臺中巿稅務局臺中巿稅務局 雲林縣稅務局雲林縣稅務局 台灣電力公司台灣電力公司 國防部資通處 漁業署漁業署 林務局林務局 金管會及所屬各局金管會及所屬各局 國土測繪中心國土測繪中心 臺中港務局臺中港務局 花蓮港務局 臺北市政府臺北市政府 台北市政府社會局台北市政府社會局 雲林縣政府雲林縣政府 臺中縣政府臺中縣政府 體育委員會體育委員會 標準檢驗局標準檢驗局 臺中市網路中心 臺北縣教育研究中心等 私人企業與組織 : 聯電 旺宏旺宏 欣銓科技欣銓科技 中華電信中華電信 電信技術中心電信技術中心 東海大學東海大學 靜宜大學靜宜大學 永豐紙業公司土城廠 宏通數碼公司宏通數碼公司 台灣集保公司台灣集保公司 台灣光罩公司等台灣光罩公司等 KPMG ISO27001 主導評審員課程講師 經濟部提升零售業資安品質計畫案資安講師 衛生署醫院 ISO 聯合輔導案講師 2

3 3 課程大綱課程大綱課程大綱課程大綱問題與討論問題與討論問題與討論問題與討論問題與討論問題與討論問題與討論問題與討論 5. 個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊個人資料保護法修訂的衝擊 2. 建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式建議學校因應方式 4. 相關案例分析相關案例分析相關案例分析相關案例分析相關案例分析相關案例分析相關案例分析相關案例分析 3. 資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念資訊安全管理基本概念 1.

4 資訊安全管理基本概念 4

5 何謂資訊 資訊 任何型態顯示及任何媒體儲存經處理過之資料 價值 資訊內容 內容 政策資料 員工資料 學校行政資料 各項紀錄 5

6 資訊存在的形式 形式 電腦相關資料 文件草稿 工作文件 信手塗鴉 內部通訊 法律規範檔案 會議紀錄. 6

7 資訊的生命週期 銷毀 依機密等級進行銷毀 產生 自動產生 人工產生 必須由產生者或保管人區分機密等級 傳送 儲存或使用 必須依機密等級設定存取權限 對內傳送 對外傳送 依機密等級進行加密或加封套 7

8 小兵賣廢紙, 洩漏國防軍機 平面媒體花了 40 元, 買到這兩大袋廢紙條, 只是內容不是紙板紙箱這麼簡單, 經過拼湊, 赫然發現廢紙條上的文字依舊清晰可見, 內容涵蓋六大機密, 包含了我國監控共軍戰報, 空軍演習計畫和美軍動態等內容 國防部長下令徹查, 只是為了防止軍機外洩, 軍方才花了八億元增購監控電腦裝備, 如今機密卻因為小兵最傳統的文件銷毀疏失外流, 實在相當諷刺 資料來源 :96/10/02 台視新聞 8

9 設備報廢也必須做好處理 現在的大多數影印機都內置硬碟, 它可以存儲大量的歷史資訊, 從而成為洩露個人隱私或商業秘密的隱患 最堪憂的是, 很多人並不知道這一風險的存在 打開影印機的後蓋, 就會發現一個體積不大的硬碟 - 資訊洩密的風險就藏在這裏, 它和電腦硬碟一樣, 可能儲存著用戶的所有資料 一家專門負責資訊安全的公司做了調查, 他們把二手影印機的硬碟拆卸下來以後, 很容易就發現了 300 多頁的個人醫療數據, 還有公司的公司記錄, 另外一臺影印機硬碟裏則是保險公司承保人的資訊 拿到這些數據的代價非常低, 一套網際網路的免費軟體加上低價回收來的舊影印機 資料來源 : 大陸電腦報 9

10 資訊安全三要素 資訊安全之目的達成下列三大目的 機密性 (Confidentiality) 確保只有被授權的人可以存取 完整性 (Integrity) 確保資訊及處理方法的正確及完整 可用性 (Availability) 確保被授權的人有需要時可以存取 機密性 完整性 可用性 10

11 何謂 ISMS? ISMS(Information security management system) 稱為 資訊安全管理制度 / 系統 : 乃組織整體管理制度 / 系統的一部分, 必須依據風險管理的方法加以制訂, 進而用以建立 執行 操作 監控 審查 維護與改進組織的資訊安全 ISMS 目的在於保護資訊資產的機密性 可用性與完整性 11

12 政府機關資訊安全責任等級分級作業 教育部所屬機關及各級公私立學校資訊安全責任分級 A 級 : 教育部 台大醫院 成大醫院 B 級 : 入學考試常設機構 大學 區域網路中心 縣 ( 市 ) 教育網路中心 陽明大學附設醫院 承辦入學考試業務機關學校 ( 包括四技二專 國中基測承辦學校 ) C 級 : 技術學院 專科學校. 部屬館所 D 級 : 高中職 國中小學 作業名稱等級 防護縱深 ISMS 推動作業 稽核方式 資安教育訓練 ( 一般主管 資訊人員 資安人員資安人員 一般使用者 ) 專業證照 A 級 NSOC 直接防護 / SOC 自建或委外 IDS 防火牆 防毒 郵件過濾裝置 通過第三者驗證 每年至少 2 次內稽 1. 每年至少 ( 小時 ) 2. 資訊人員 資安人員需通過資安職能鑑定 維持至少 2 張資安專業證照 B 級 SOC( 選項 ) IDS 防火牆 防毒 郵件過濾裝置 通過第三者驗證 每年至少 1 次內稽 1. 每年至少 ( 小時 ) 2. 資訊人員 資安人員需通過資安職能鑑定 維持至少 1 張資安專業證照 C 級 防火牆 防毒 郵件過濾裝置 自行成立推動小組規劃作業 自我檢視 每年至少 ( 小時 ) 資安專業訓練 D 級 防火牆 防毒 郵件過濾裝置 推動 ISMS 觀念宣導 自我檢視 每年至少 ( 小時 ) 資安專業訓練 12

13 教育體系資通安全管理規範 參考 ISO 27001:2005 CNS 以及我國政府規範等法令標準, 訂定出適用於教育體系之資通安全管理規範 使各級學校與教育網路中心能以最低成本與時間, 建構嚴謹且合適之資訊安全管理系統 配合教育部規劃之 教育機構資安驗證機制教育機構資安驗證機制, 建構國內專屬之第三方驗證標準 教育部已於 96 年 6 月 11 日發函各機關學校公布推動 教育體系資通安全管理規範 及 國中小學資通安全管理系統實施原則 以做為教育體系各機關學校落實資安管理制度參考 13

14 14 教育體系資通安全管理架構教育體系資通安全管理架構教育體系資通安全管理架構教育體系資通安全管理架構 11 個控制領域個控制領域個控制領域個控制領域 36 個控制目標個控制目標個控制目標個控制目標 100 個控制個控制個控制個控制措施措施措施措施相關法規與施行單位政策之符合性業務永續運作管理資訊安全事件之反應與處理人員安全管理與教育訓練實體與環境安全通訊與作業安全管理系統開發與維護之安全存取控制安全資訊資產分類與管制資訊安全政策訂定與評估資訊安全組織資訊安全管理系統之稽核

15 教育機構資安驗證機制 15

16 個人資料保護法修訂的衝擊 16

17 何謂隱私 (Privacy)? 保障個人資訊使用的基本權利與義務, 並條理出應有的行為規範與判斷是非善惡的準則 隱私意指足以識別該個人的資料, 一個人對個人空間 (Personal space) 的私密性主張, 亦即其不為人所侵犯 (Intrude) 的權利 網上隱私 指網路使用者在網上享有的私人生活安寧與個人資訊依法受到保護, 不被他人非法侵犯 知悉 搜集 複製 利用和公開的一種人格權 也指禁止在網上洩露某些與個人相關的敏感資訊, 包括事實 圖像及譭謗的意見等 17

18 個人隱私資料區分 就電子資訊網路而言, 個人的隱私資料可區分為以下四個部份 : 個人屬性 (Privacy of a Person's Personal ) 個人資料 (Privacy of Data about a Person ) 個人通訊內容 (Privacy of a Person's Communications ) 個人匿名 (Anonymity ) 18

19 個人屬性的隱私 凡涉及個人本身獨一無二的隱私, 都屬於個人屬性隱私的範疇 姓名 出生日期 身份證字號 個人肖像 聲音 19

20 個人資料的隱私 經蒐集個人平常使用行為模式皆屬於個人資料 個人消費習慣 病歷資料 宗教信仰 政黨傾向 工作職業 保險投保等紀錄 20

21 個人通訊內容的隱私 經由網路傳送或接收個人通訊資料也是隱私的範疇之內 電子信件 ( ) 電子資料檔案 (File) 個人電子相簿 (Album) 網路上的交談內容 (Chat content) 個人通訊內容的監控 (Monitor) 披露 (Make Public) 等情事也會間接侵犯隱私 (Privacy invasion) 21

22 個人匿名隱私 匿名, 是隱私權的最高層形式 匿名的程度會影響到使用者在資訊使用上的權利 : 匿名的網路購物 可保護個人資料的隱私權, 例 : 消費內容 個人的祕密行為, 例 : 在家中的行為 22

23 個人資料保護 在生活中, 我們會在許多場合填寫個人資料給許多不同單位 ( 包括公務機關或非公務機關 ), 讓他們將資料建立 處理或利用檔案 學校中保存與處理職員 師生及家長之個人資料 23

24 電腦處理個人資料保護法侷限性 台北縣政府經濟發展局向法院部查詢, 部分 KTV 視聽歌唱業者, 私自留存消費者的個人資料, 包括消費者個人照片 身分證號碼 手機 住家地址及電話等資料, 如果涉及個資個資外洩, 是否適用電腦處理個人資料 保護法的規範 法務部指出, 現行 電腦處理個人資料保護法 主要是規範公務機關 如果是非公務機關, 依該法是指 : 1 徵信業及以蒐集或電腦處理個資為主要業務的個人或團體 2 醫院 學校 電信業 金融業 證券業 保險業及大眾傳播業 3 其他經法務部會同中央目的事業主管機關指定的事業 個人或團體 包括, 期貨業 產物及人壽保險公會 不動產仲介經紀業 利用電腦網路開放個人資料登錄的就業服務業 登記資本額為 1 千萬元以上的股份有限公司, 且有採會員制為行銷的百貨業 零售式量販業等 今年 7 月起擴大適用無店舖零售業者資料來源 :97/06/17 工商時報 24

25 個人資料保護法修訂 99 年 4 月 17 日立法院三讀通過 施行細則, 由法務部定之 施行日期, 由行政院定之 未正式實施前, 電腦處理個人資料保護法仍然適用 ( 但廢除第 19~22 43 條 ) 立法目的 保護人格權 促進個人資料的合理利用 25

26 個人資料保護的範圍 個人資料的形式 : 不管是電子資料電子資料或是紙本資料 法律制訂的目的 : 規範個人資料之蒐集蒐集 處理及利用, 以避免人格權受侵害, 並促進個人資料之合理利用 蒐集 : 指以任何方式取得個人資料 處理 : 指為建立或利用個人資料檔案所為資料之記錄 輸入 儲存 編輯 更正 複製 檢索 刪除 輸出 連結或內部傳送 利用 : 指將蒐集之個人資料為處理以外之使用 26

27 個資保護各階段的重點 蒐集 處理 利用 特定目的 資料提供 特定目的利用外之限制 其他特定的要件 正確性維護 國際傳遞之限制 27

28 個人資料的定義 個人資料 : 指自然人之姓名 出生年月日 國民身分證統一編號 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 醫療醫療 基因 性生活性生活 健康檢查健康檢查 犯罪前科犯罪前科 聯絡方式 財務情況 社會活動及其他得以直接或間接方式識別該個人之資料 個人資料檔案 : 指依系統建立而得以自動化機器或其他非自動化方式檢索 整理之個人資料之集合 28

29 規範的範圍 公務機關 : 指依法行使公權力之中央或地方機關或行政法人 非公務機關 : 指前款以外之自然人 法人或其他團體 當事人 : 指個人資料之本人 29

30 當事人的權利 當事人就其個人資料依本法規定行使之下列權利, 不得預先拋棄或以特約限制之 : 一 查詢或請求閱覽 二 請求製給複製本 三 請求補充或更正 四 請求停止蒐集 處理或利用 五 請求刪除 30

31 作業委外時需注意 受公務機關或非公務機關委託蒐集 處理或利用個人資料者, 於本法適用範圍內, 視同委託機關 委外單位發生資料外洩視同委託機關資料外洩, 責任由委託機關負責!! 31

32 涉嫌販賣國中基測個資 博暐公司涉嫌販售國中基測個資案, 經雄檢偵結, 負責人林正杰 許慧珠等八人, 依背信或違反個資法等罪嫌起訴, 並求處林十年徒刑 許女九年徒刑 起訴書指出, 國立桃園高中被指定辦理九十七年國中基測後, 博暐以一千二百多萬元得標簽約, 受理考生報名, 並由公司負責建立考生基本資料電子檔 但林正杰二度指示陳錫卿竊取學生個資後, 依據縣市區域, 分別燒錄至光碟, 交予國內各地補習班 私立高中或個人, 獲取不法利益四百八十萬元 32

33 個人資料使用範圍的限制 個人資料之蒐集 處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯 非公務機關依規定利用個人資料行銷者, 當事人表示拒絕接受行銷時, 應即停止利用其個人資料行銷 非公務機關於首次行銷時, 應提供當事人表示拒絕接受行銷之方式, 並支付所需費用 33

34 對於個人資料蒐集 處理與利用 公務機關應有特定目的且符合以下要件 : 一 執行法定職務必要範圍內 二 經當事人書面同意 三 對當事人權益無侵害 非公務機關應有特定目的且符合以下要件 : 一 法律明文規定 二 與當事人有契約或類似契約之關係 三 當事人自行公開或其他已合法公開之個人資料 四 學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 五 經當事人書面同意 六 與公共利益有關 七 個人資料取自於一般可得之來源 但當事人對該資料之禁止處理或利用, 顯有更值得保護之重大利益者, 不在此限 34

35 什麼是 人肉搜索人肉搜索? 警方首度利用 FACEBOOK 人肉搜索破獲搶案! 台北市一家超商日前遭歹徒持菜刀行搶, 警方調閱監視器畫面鎖定嫌犯外貌, 卻抓不到人, 員警把搶匪畫面 PO 在 FACEBOOK 上請網友幫忙,2 小時內就有熱心網友提供線索, 順利在網咖逮捕搶匪 一名中年男子企圖將一個十一歲小女孩拖進餐廳的洗手間, 幸好女孩的父母及時發現加以阻止, 但這件事馬上在網路上引發網友憤慨 早上把餐廳監視器 PO 上網路啟動人肉搜尋, 下午網友宣佈抓到歹徒 歹徒的職業 住址甚至手機號碼 車牌號碼等, 網友都找得到, 也協助警方辦案, 順利將歹徒逮捕資料來源 :2009/11/29 華視 35

36 人肉搜索人肉搜索 未必都有好結果 98 年 10 月 4 日一位台大學生周鬍子在網路上公開徵求一夜情的對象, 引發網友不滿, 被人肉搜索出來, 周鬍子出面道歉也接受公審, 甚至丟掉學位以及工作 還沒找到一夜情的對象, 周鬍子就成了受害人 吳育昇婚外情事件女主角名字也是被人肉搜索出來的結果 36

37 有關網路人肉搜索之建議 不要隨意參與網路人肉搜索 不要在網路上洩漏 ( 自己或他人 ) 個人資料 可能觸犯個資法 勿在網路上隨意攻訐 辱罵他人 可能觸犯公然侮辱罪 37

38 蒐集資料時應告知事項 一 公務機關或非公務機關名稱 二 蒐集之目的 三 個人資料之類別 四 個人資料利用之期間 地區 對象及方式 五 當事人依第三條規定得行使之權利及方式 六 當事人得自由選擇提供個人資料時, 不提供將對其權益之影響 有下列情形之一者, 得免為前項之告知 : 一 依法律規定得免告知 二 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要 三 告知將妨害公務機關執行法定職務 四 告知將妨害第三人之重大利益 五 當事人明知應告知之內容 38

39 目前電腦處理個人資料保護法之類別 電腦處理個人資料保護法之個人資料之類別 : 識別類 特徵類 家庭情形 社會情況 教育 技術或其他專業 受僱情形 財務細節 商業資訊 健康與其他 其他各類資訊 法務部正配合施行細則修訂中, 若有蒐集的資料不在類別清單中, 應主動與法務聯繫, 建議修訂 昇達價值管理股份有限公司版權所有 39

40 個人資料之利用目的 -1 目前電腦處理個人資料保護法之特定目的 一 人身保險業務 ( 依保險法令規定辦理之人身保險相關業務 ) 二 人事行政管理 三 土地行政 四 公立與私立慈善機構之目標 五 公共衛生 六 公共關係 七 火災預防與控制 八 戶政及戶口管理 九 不動產服務 一 公職人員財產申報業務 一一 立法或立法諮詢 一二 民政 一三 代理與仲介之管理 一四 犯罪預防 刑事偵查 執行 矯正 保護處分或更生保護事務 一五 外匯管理 一六 生態保育 一七 合法性審計 一八 交通運輸 一九 刑案資料管理 40

41 個人資料之利用目的 -2 六 統計調查與分析 六一 就業安置 規劃與管理 六二 著作權行政 六三 會計與相關服務 六四 電信監理業務 六五 資訊與資料庫管理 六六 會員 ( 籍 ) 管理 ( 含會員指派之代表 ) 六七 農產品交易 六八 農產品推廣資訊 六九 募款 七 發照與登記 七一 傳播行政與管理 七二 華僑資料管理 七三 經營郵政業務郵政儲匯保險業務 七四 經營電信業務與電信加值網路業務 七五 債權整貼現及收買 七六 漁業行政 管理 七七 僱用服務管理 七八 輔助性與後勤支援 七九 學生資料管理 41

42 個人資料之利用目的 -3 八 八一 八二 八三 八四 八五 八六 八七 八八 八九 九 九一 九二 九三 九四 九五 九六 徵信學術研究選舉 罷免事務衛生行政營建業之行政管理輻射公害輻射防護環境保護糧食行政 管理保健醫療服務警政護照 簽證及文件證明處理觀光旅館業及旅行業管理業務其他中央政府其他公共部門其他司法行政業務其他地方政府事務 九七 其他合於營業登記項目或章程所定業務之需要 九八 其他金融業務管理 九九 其他財政收入 一 其他財政服務 一 一 其他諮詢與顧問服務 42

43 非由當事人提供個人資料 蒐集非由當事人提供之個人資料, 應於處理或利用前, 向當事人告知個人資料來源及前條第一項第一款至第五款所列事項 有下列情形之一者, 得免為前項之告知 : 一 有前條第二項所列各款情形之一 二 當事人自行公開或其他已合法公開之個人資料 三 不能向當事人或其法定代理人為告知 四 基於公共利益為統計或學術研究之目的而有必要, 且該資料須經提供者處理後或蒐集者依其揭露方式, 無從識別特定當事人者為限 五 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料 第一項之告知, 得於首次對當事人為利用時併同為之 43

44 當事人的請求權利 公務機關或非公務機關應依當事人之請求, 就其蒐集之個人資料, 答覆查詢 提供閱覽或製給複製本提供閱覽或製給複製本 但有下列情形之一者, 不在此限 : 一 妨害國家安全 外交及軍事機密 整體經濟利益或其他國家重大利益 二 妨害公務機關執行法定職務 三 妨害該蒐集機關或第三人之重大利益 查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用 公務機關或非公務機關受理當事人依規定之請求, 應於十五日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾十五日, 並應將其原因以書面通知請求人 44

45 得收取處理費用 查詢或請求閱覽個人資料或製給複製本者, 公務機關或非公務機關得酌收必要成本費用酌收必要成本費用 免費可能資源被濫用 收費可能被故意攻擊 45

46 維護資料正確性 公務機關或非公務機關應維護個人資料之正確, 並應主動或依當事人之請求更正或補充之 個人資料正確性有爭議者, 應主動或依當事人之請求停止處理或利用 但因執行職務或業務所必須並註明其爭議或經當事人書面同意者, 不在此限 公務機關或非公務機關受理當事人依規定之請求, 應於三十日內, 為准駁之決定 ; 必要時, 得予延長, 延長之期間不得逾三十日, 並應將其原因以書面通知請求人 46

47 通知義務 公務機關應將下列事項公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同 : 一 個人資料檔案名稱 二 保有機關名稱及聯絡方式 三 個人資料檔案保有之依據及特定目的 四 個人資料之類別 公務機關或非公務機關違反本法規定, 致個人資料被竊取 洩漏 竄改或其他侵害者, 應查明後以適當方式通知當事人 47

48 保管責任 公務機關保有個人資料檔案者, 應指定專人辦理安全維護事項, 防止個人資料被竊取 竄改 毀損 滅失或洩漏 非公務機關保有個人資料檔案者, 應採行適當之安全措施, 防止個人資料被竊取 竄改 毀損 滅失或洩漏 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法 48

49 損害賠償責任 公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權利者, 負損害賠償責任 但損害因天災 事變或其他不可抗力所致者, 不在此限 非公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權利者, 負損害賠償責任 但能證明其無故意或過失者, 不在此限 如被害人不易或不能證明其實際損害額時, 得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下五百元以上二萬元以下計算 對於同一原因事實造成多數當事人權利受侵害之事件, 經當事人請求損害賠償者, 其合計最高總額以新臺幣二億元二億元為限 但因該原因事實所涉利益超過新臺幣二億元者, 以該所涉利益為限 同一原因事實造成之損害總額逾前項金額時, 被害人所受賠償金額, 不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制 損害賠償請求權, 自請求權人知有損害及賠償義務人時起, 因二年間不行使而消滅 ; 自損害發生時起, 逾五年者, 亦同 49

50 損害賠償責任 ( 續 ) 損害賠償, 除依本法規定外, 公務機關適用國家賠償法之規定, 非公務機關適用民法之規定 對於同一原因事實造成多數當事人權利受侵害之事件, 財團法人或公益社團法人經受有損害之當事人二十人以上二十人以上以書面授與訴訟實施權者, 得以自己之名義, 提起損害賠償訴訟 50

51 罰則 意圖為自己或第三人不法之利益或損害他人之利益, 而對於個人資料檔案為非法變更 刪除或以其他非法方法, 致妨害個人資料檔案之正確而足生損害於他人者, 處五年以下有期徒刑 拘役或科或併科新臺幣一百萬元以下罰金 中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者, 亦適用之 公務員假借職務上之權力 機會或方法, 犯本章之罪者, 加重其刑至二分之一 本章之罪, 須告訴乃論 但意圖營利者, 或對公務機關犯妨害個人資料檔案之正確而足生損害於他人者, 不在此限 犯本章之罪, 其他法律有較重處罰規定者, 從其規定 51

52 非公務機關未遵守規定之罰則 非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市 縣 ( 市 ) 政府處新臺幣五萬元以上五十萬元以下罰鍰, 並令限期改正, 屆期未改正者, 按次處罰之 : 一 違反蒐集非法令規定不得蒐集之個人資料 二 違反規定蒐集 三 違反規定涉及國家重大利益進行國際傳輸 四 違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分 52

53 非公務機關未遵守規定之罰則 ( 續 ) 非公務機關有下列情事之一者, 由中央目的事業主管機關或直轄市 縣 ( 市 ) 政府限期改正, 屆期未改正者, 按次處新臺幣二萬元以上二十萬元以下罰鍰 : 一 未告知當事人 二 未依期限內當事人請求提供答覆查詢答覆查詢 提供閱覽或製給複製本 ; 維護資料正確性 ; 或於資料發生被竊取 洩漏 竄改或其他侵害者告知當事人 三 非公務機關利用個人資料之行銷違反規定 四 非公務機關保有個人資料檔案者, 未採行適當之安全措施, 或未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法 53

54 非公務機關未遵守規定之罰則 ( 續 ) 非公務機關無正當理由, 主管機關規避 妨礙或拒絕進入 檢查或處分者, 由中央目的事業主管機關或直轄市 縣 ( 市 ) 政府處新臺幣二萬元以上二十萬元以下罰鍰 非公務機關之代表人 管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外, 應並受同一額度罰鍰之處罰 54

55 非公務機關個資管理法規依據 法務部傾向以組織營運目的 ( 營業項目 ) 為分辨主管機關 : 如 PC home 可能為工業局上面的小商家可能為商業司上面的個人可能為縣市政府 法務部正與相關機關確認事業主管機關中 非公務機關 條文已公布施行日期待行政院公布 個人資料保護法 法務部研擬中計畫明年初公布 施行細則 個人資料保護政策????? 事業主管機關個資保護指針 55

56 除外條款 有下列情形之一者, 不適用本法規定 : 一 自然人為單純個人或家庭活動之目的, 而蒐集 處理或利用個人資料 二 於公開場所或公開活動中所蒐集 處理或利用之未與其他個人資料結合之影音資料 56

57 補行告知責任 本法修正施行前非由當事人提供之個人資料, 依規定應於處理或利用前向當事人為告知者, 應自本法修正施行之日起一年內完成告知, 逾期未告知而處理或利用者, 以違反規定論處 57

58 施行細則訂定方向 -1 原則上只規範大範圍蒐集 或者是透過電腦蒐集處理利用的個人資料 方向一 : 資料保護基本方針 各目的事業主管機關以法務部發布的基本方針為基礎, 依據不同產業的資料特性, 來訂定監管產業的個人資料保護標準指針 (Guidelines), 這些指針會納入基本方針所宣示的基本要項 各產業再依照各目的事業主管機關所發布的標準指針, 來研訂企業內個人資料保護政策及應該遵守的相關法令要求 方向二 : 不確定法律概念的具體化 不確定法律概念的具體化有 2 個作法, 包括定義性的規定與建立次標準, 例如公共利益 界定範圍的不確定概念, 例如特種資料適用範圍, 什麼是病歷, 什麼是醫療性資料, 哪些特種資料有哪些例外情形可蒐集, 哪些個資可視為一般資料不受特種資料的蒐集限制等 有些概念需要建立程序性定義, 例如書面同意 國際傳輸 行政檢查 58 或團體訴訟等

59 施行細則訂定方向 -2 方向三 : 釐清責任歸屬 包括委託關係 民事責任 刑事責任, 行政責任的認定, 如何區分委託者與受託者的權力義務關係, 企業或機關如何與內部員工 公務員區分彼此的責任義務, 都將在細則中規定 方向四 : 個人資料保護團體的認定 未來每個企業和公家機關都將面臨大量的個人資料的查詢請求, 或是查詢個資在企業或機關內部是否有達到適當保管和適當安全維護, 這些查詢需要法令諮詢, 例如企業如何龐大群眾的法令諮詢 訴訟 損害賠償如何執行等 59

60 施行細則訂定方向 -3 方向五 : 確定執行個資保護事項的協調聯繫機制 確定執行個資保護事項的協調聯繫機制是為了解決公務機關執行個資法時, 若發生了重大爭議時的協調聯繫機制 用來作為公務機關間彼此溝通業務的管道, 也可以作為民間企業與公務機關的協調溝通機制, 另外還會建立國內個人資料保護的執行架構以及國際個人資料保護的執行架構 方向六 : 明定目的事業主管機關的認定程序 因為主管機關要負責行政檢查 裁處罰鍰等, 角色非常重要, 所以, 必須確定產業的主管機關 對企業而言, 目的事業主管機關就是個資法主管機關 個人也會面臨個資法的規範, 但是, 個人不是營業單位, 沒有目的事業主管機關, 法務部傾向於以居住地認定, 由各縣市政府擔任個人的個資法主管機關 60

61 施行細則訂定方向 -4 方向七 : 公開和報告的義務 公務機關應清查自己所擁有的個人資料檔案名稱 機關名稱及聯絡方式 擁有這些個資的依據以及特定目的 個人資料類別等四項法定項目公開, 在細則中將明定各機關公開資訊的期限 將來還會有報告義務, 法務部會視預算, 發行年刊, 若預算不足則發行年鑑, 來記錄每一個公務機關或非公務機關的個人資料保護執行成效, 並進行執行成效的統計分析 施行細則還會訂定一些共同辦理事項與配套措施, 包括修正特定目的的範圍, 採取分類編號的方式, 建立共通性的總類特定目的, 以及依業務別區分的個別性特定目的, 做為主管機關監督管理的工具, 未來行政檢用來判斷企業是否合法蒐集 使用和處理個資, 就是以特定目的作為認定依據 特定目的是每一個蒐集者都需要注意的事 新法中規定凡 法律有明文規定 者可以作為蒐集 處理跟利用的要件, 也就是說, 只要目的事業主管機關修正相關法令規定, 訂定產業需要蒐集 處理或使用的資料範圍, 就可以排除告知義務 61

62 相關案例分析 62

63 洩漏個資侵隱私博客來書店判賠 去年十一月四 五日, 曾郁智等十七位住在台北縣市的民眾, 為了購買 台北金馬影展套票, 依指示進入博客來網站登錄會員並註冊套票後, 卻在博客來回覆註冊成功的電子郵件訊息中, 發現夾帶先前已註冊成功的四百七十七位會員資料 回覆電郵疏失夾帶會員資料 進一步了解後, 才發現博客來網站程式有疏失, 造成註冊成功的個人資料外流, 容易讓有心人透過管道取得個資, 使個人隱私遭受破壞, 因此共同提出民事訴訟, 要求博客來依個資法及侵害隱私權, 賠償各人九至十萬元 法官審理認為, 本案確實是因為被告人員業務處理疏失, 才將原告的姓名等個人資料, 無端附加在購票確認系統回覆電郵, 公開揭示和購票目的無關的第三人, 自屬侵害隱私權, 原告主張受有非財產上的損害有理由 台北地方法院十九日判決博客來必須賠償每人二千四百元至一萬一千九百元不等 至於違反個資法部分, 法官認定博客來網站不是 電腦處理個人資料保護法 規定的非公務機關, 原告不能依該法求償 資料來源 : 中國時報 63

64 校長洩漏個資, 洩密無罪 檢方起訴時指出, 南郭國小校長顏士程涉嫌在前年十二月九日在校長室將燒錄在光碟片裡的八百零四名學生和家長個資, 交予補教業者吳芝庭 平和國小校長林火旺也在前年十二月七日將燒錄有八十七名學生家長資料的光碟, 交給吳芝庭的姊姊吳芳宜 法官審理後認為包括南郭國小校長顏士程 平和國小校長林火旺洩露的個資 並非具有利害關係的秘密, 判兩人無罪 ; 至於違反 電腦處理個人資料保護法 部分, 因告訴人已撤告, 同時裁定公訴不受理 彰化地院發言人余仕明庭長指出, 無罪判決完全是依法論法, 若當事人因個人資料外洩造成權益受損, 可透過民事訴訟尋求補償 資料來源 : 聯合報 64

65 香港政府個資外洩 香港政府近年不斷加強推動資訊安全工作, 但立法會的文件顯示, 過去一年仍有 8 件政府資料洩漏事故, 受影響人數超過 3000 人, 最嚴重個案是去年 10 月勞工及福利局遺失一顆可攜式儲存裝置, 內載有 2666 人的個人資料, 另外有康文署員工的辦公室電腦被偷走, 當中載有 410 人的資料 資料來源 : 香港明報 65

66 香港醫院個資一再發生外洩 香港明愛醫院日前爆出公立醫院歷來最嚴重的病人資料失竊醜聞, 一個載有該院三千多名病人個人資料的電腦硬碟遭人強行拆除偷走, 至今不知所蹤, 硬碟內載有病人姓名 性別 年齡及身份證號碼等個人敏感資料 九龍醫院護士學校又被揭發遺失一支載有三百多名護士學生個人資料的 USB 隨身碟 資料來源 : 香港太陽報 66

67 香港八達通公司販售客戶資料 個人資料私隱專員公署昨就八達通事件召開聆訊, 八達通行政總裁陳碧鏵推翻過往說法, 終承認有出售客戶個人資料予 6 家廠商作推廣之用, 以獲取佣金 分紅 年費和獎賞金等,4 年半從轉售資料共獲利 4,400 萬元 八達通獎賞及八達通廣聯兩家公司, 於 2006 年 1 月至今年 6 月間, 轉售 197 萬客戶資料給 6 間公司, 來源包括個人八達通 自動增值服務和日日賞 每間公司平均聯絡每名客戶 1.7 次, 八達通在 4 年半獲利 4,400 萬元, 佔總收入 31%, 但扣除投資和營運開支, 反而虧損 3,000 萬元 她說正與信諾與 CPP 商討提前終止合作, 承諾不再向商戶提供客戶資料 資料來源 : 香港都市日報

68 銀行違法利用個人資料 金管會進行金融檢查的時候發現, 遠東銀行將客戶的車貸資料, 洩漏給合作車商, 且遠銀在 3 年內已有類似前例, 因此, 聯徵中心罕見地祭出重罰, 將停止遠銀的消金部門, 在聯徵中心的查詢長達 42 天 ; 銀行同業說, 這和過去僅略施懲戒, 停止個 5~30 天相比, 這幾乎成為聯徵中心開罰最重的一次紀錄 面對聯徵中心祭出停權 42 天限制, 負責車貸業務的遠東銀行消金及信用卡事業群副總經理李銘博表示, 一切將配合主管機關指示, 進行更嚴謹的內控查核, 也第一時間與合作車商溝通, 避免類似情事再度發生 資料來源 : 工商時報

69 資料外洩的管道 美國身份竊盜資源中心 (Identity Theft Resource Center, ITRC) 於上周公布了 2009 年的資料外洩分析報告, 指出惡意攻擊取代了蟬連三年的人為疏失, 成為資料外洩的主因 根據 ITRC 的分析, 去年資料外洩事件中, 惡意攻擊 ( 駭客及內賊 ) 佔了 36.4%, 在近三年來首度取代人為疏失, 成為資料外洩的主要原因 而人為疏失 ( 資料遺失及意外揭露 ) 在去年則佔了 27.5% 去年 ITRC 所蒐集到的 498 件資料外洩事件總計影響了 2.2 億筆以上的個人資料, 其中之一為美國軍方在去年 10 月將硬碟送修時忘了銷毀硬碟資料, 而該硬碟儲存了 7600 萬筆退休軍人的資料 此外, 統計發現書面資料外洩佔了所有外洩事件的 26%, 分析發生資料外洩的產業別, 由商業類別 41% 居冠, 金融及醫藥產業則因有嚴格的規定, 而成為資料外洩比例最低的兩大產業 資料來源 : IThome 69

70 員工盜賣客戶資料 英國資訊委員會辦公室 (ICO)11/17 發佈公開聲明指出, 近來英國發生一起電信業者員工盜賣客戶資料給競爭對手的事件, 要求立法對此違法行為處以監禁刑責, 以遏止此一歪風 T-mobile 被盜賣資料包括客戶合約細節的資料, 被盜賣給一仲介業者 此仲介商再向其他電信業者兜售, 讓競爭對手可以在合約即將到期前與消費者連絡, 以進行促銷 ICO 的調查顯示, 這些資料已經被轉賣了好幾手, 相關人員也已獲取為數可觀的報酬 據瞭解, 牽涉的客戶資料數量有可能是數百萬筆 資料來源 : IThome 70

71 勿利用權限不當查詢系統 立委吳育昇的婚外情對象孫仲瑜在 2009 年 11 月事件爆發後, 始終沒有露面, 也讓外界對她充滿好奇, 據了解孫仲瑜這三個字, 被全國警用電腦查了上千次 警方深入調查發現, 國內有 68 名警員, 透過刑案資訊系統查詢孫女個人資料 警政署資訊室主任李相臣說, 查詢民眾個資時, 員警必須以自己的帳碼登入系統, 所以 凡查過必留下痕跡, 警方由此發現, 全台有 16 個單位 共 68 名警員, 曾以電腦查詢孫仲瑜的個人資料, 還有人好奇到重複查詢兩次以上, 所以總共有 70 多筆查詢紀錄 警政署認為, 這些查詢純因出於好奇, 與辦案無關, 因此下令對這些違反作業規定的警員祭出懲處, 最高可處兩次申誡 71 資料來源 : 中國時報 民視

72 雇用駭客竊取個人資料 陳光著 徐苑玲夫婦涉嫌勾結大陸駭客, 入侵政府機關 電信及網路購物公司盜取四千多萬筆個資, 轉賣詐欺集團, 對外宣稱上自總統下至庶民 想得到就查得到, 昨天被板橋地檢署起訴 檢方依違反電腦處理個人資料保護法等罪, 起訴陳光著 徐苑玲夫婦, 及共犯游騏鴻 高銘鍵和電腦工程師王溫志五人 檢方調查, 陳光著集團從九十五年起, 陸續在大陸僱用電腦駭客, 從健保局 教育部及戶政等政府機關和各家電信公司 東森購物等多處管道入侵, 盜取個人資料, 累計多達四千多萬筆 ; 並從中華郵政網路銀行, 將客戶存款盜轉走數百萬元 資料來源 : 聯合報 72

73 變種 灰鴿子 病毒 上海電腦病毒防範服務中心發出預警 : 對網路安全威脅很大的 灰鴿子 病毒又出現了新的變種, 並將於近期在網上爆發, 上網用戶須謹防, 以免個人資訊安全受損 這種名為 灰鴿子二代變種 的病毒是一個反向連結的後門程式, 一旦病毒進入用戶系統, 會自動連結駭客指定的遠端 IP, 獲取用戶端的 IP 地址, 完成遠程式控制制的目的 該後門病毒具有遠程監視和控制等功能, 可以對被感染系統中的文件進行任意操作, 並監視用戶的行為 ( 如 : 鍵盤輸入 螢幕顯示 光碟機操作 文件讀寫 滑鼠操作和網路攝影機操作等 ), 還可以竊取 修改或刪除用戶電腦中存放的資訊, 從而對用戶的各種私人資訊造成嚴重的威脅 感染該病毒的系統還會變成駭客的傀儡主機, 駭客可利用這些主機對指定的 IP 發起 DDoS 攻擊 洪水攻擊等, 從而威脅網際網路的安全 資料來源 : 新華網 73

74 變種 灰鴿子 病毒感染方式 背景中導到 一般網站 藏有病毒的網站 下載病毒感染 以 port 80 主動報到 上網瀏覽網站或點選 超連結 以 port 80 遠端遙控 駭客 74

75 駭客 灰鴿子灰鴿子 的介面 75

76 殭屍病毒竊取金融資料防不勝防 根據英國資訊安全公司 Trusteer 今年度的調查, 在英國與美國 550 萬台電腦中, 偵測到有 3000 台染上 木馬病毒, 而這些木馬病毒正是造成今年 3 月大舉侵襲英美銀行業 金融機構 資訊網路社群, 竊取帳號 到取資料的病毒程式 ; 然而, 這卻只是網路病毒世界的冰山一角 Zeus 1.6 是一種網路殭屍病毒, 它不只具有木馬程式的 攻擊性, 還具有 潛伏性 所謂的殭屍病毒就是透過用戶在瀏覽網頁時, 入侵個人電腦, 但病毒不會立即發作, 而是潛伏在用戶電腦裡, 待駭客伺機而動 這種殭屍病毒就是會透過瀏覽器如 :IE Firefox 等入侵用戶的電腦, 並偷走個人的重要資料, 甚至會讀取用戶瀏覽過的網頁或他人網站, 藉機盜取一整串的使用者名單 駭客只須透過遠端伺服器就能讓中毒的電腦像殭屍一樣聽命於行 任由駭客擺佈 ; 這是一般防毒軟體無法招架的病毒, 到最後只能讓駭客完全掌控電腦 盜取大批資料 資料來源 : 華視 76

77 這樣的程式於網路上也販賣 一項網路安全調查顯示, 駭客集團已研發出 攻擊工具組, 用來降低新手的進入門檻, 讓沒有經驗的新手輕鬆入侵電腦竊取資訊 其中名為 Zeus (Zbot) 的犯罪工具組以 700 美元低價即可購得, 還可自動設計數以百萬計的客製化新型惡意程式碼, 並躲避安全軟體的偵測 資料來源 : 聯合報 77

78 針對 Facebook 的攻擊 英國廣播公司 報導, 網路上最新流竄著名為 clickjacking 的駭客手法, 這種網路攻擊最令人訝異的是, 它會潛伏在 Facebook 用戶中, 佯裝成用戶朋友關係鏈裡的某一個 喜好連結, 所以當用戶收到朋友分享的喜好連結, 如 :2010 世足賽 最新美國偶像等串聯影片檔時, 若看到 按下 (Click) 而按下選鈕, 其潛藏在 JavaScript 檔裡的語法卻是 喜歡 / 同意 (Like/Agree) 這個移動滑鼠 按下選鈕的動作, 代表用戶正被駭客騙, 手法是用螢幕上看到的 按下喜好影片 騙取用戶 按下同意選鈕 更需要注意的是, 連串接在主機上的麥克風 webcam 等, 也會被駭客入侵, 甚至可以對特定網站發動 DDoS 攻擊 為此, 網路專家提醒用戶們, 在各網頁中看到不知名的連結, 或只有出現連結址 無文字說明的影片, 都有潛伏危機的可能性, 必須謹慎注意不要點擊可疑的連結 資料來源 : 鉅亨網 78

79 Facebook 的攻擊模式 背景中導到 Facebook 網站影片連結 下載 clickjacking 程式 藏有 clickjacking 的網站 點選同意 主動報到 上網瀏覽 facebook 遠端遙控滑鼠 WebCam 麥克風等 駭客 79

80 AT&T 洩露十幾萬筆 ipad 客戶資料 駭客組織 Goatse Security 利用 AT&T 網站功能的漏洞成功挖出了 筆 ipad 客戶的資料, 這些 及 SIM 卡卡號被洩露的客戶名單從紐約時報執行長 ABC News 主播 到紐約市市長, 甚至白宮幕僚長, 以及很多美國國防部 軍事機構, 及其他政府組織的官員 ; 當然還包括很多科技公司的帳號, 如 Google Amazon, 還有 Microsoft 駭客組織並未入侵 AT&T 的系統, 而只是針對其網站設計的漏洞設計腳本 (script), 然後以猜測的 SIM 卡卡號範圍呼叫出這些名單資料 換句話說, 這些資料是任何人只要知道方法, 都能夠透過公開的網際網路而取得的 Goatse Security 已通知 AT&T 該漏洞, 而 AT&T 也已經在近日關閉相關功能 資料來源 : ithome 80

81 實體安全必須保護 你們拉別人投保, 公司卻沒保竊險, 也沒設定保全警報, 實在離譜 永靖鄉同一棟大樓中新光人壽 員林鎮宏泰人壽 泰安產物保險與精聯保險經紀人公司等共四家保險公司, 昨天都遭人闖空門, 竊走辦公室內值逾卅萬元的筆記型電腦 液晶螢幕等三 C 電子產品, 警方採到多枚可疑指紋, 深入追查 保險業務員遭竊的筆記型電腦, 存放的全是保險客戶個人資料及公司保險簡報資料等, 儘管都設定開機密碼, 仍有客戶擔心資料外洩 員林警分局偵查隊長陳清說, 保險公司同一天遭竊, 不排除是同一竊盜集團所為, 竊賊應該是針對電腦而來, 將加強追查 資料來源 : 聯合報 81

82 勿公務家辦 位於東京的私立日本大學爆發網路個資洩漏事件, 大學總務部長大工原孝週二 (4/27) 召開記者會, 已洩漏個資約 1 萬 5000 件, 其餘仍有未查明的部分正在追蹤調查 洩漏原因是 4/24 日人事課一名職員擅自將業務用資料複製到 USB 隨身碟攜出, 在家中個人電腦使用, 受到電腦內 P2P 軟體 Share 感染的病毒影響而洩漏至網路中 根據調查報告顯示, 洩漏的檔案幾乎都是 Word 與 Excel 檔, 包括人事課轄下業務資料 會議記錄, 以及該職員 3 月之前任職於日本大學醫學部附屬醫院時所管理的醫院職員通訊名冊, 至少有 1 萬 5000 份個資已流入全球網路中 資料來源 : ithome 82

83 大樓保全人員盜取信用卡資料 台北市刑警大隊偵七隊日前接獲報案, 指稱內湖行善社區連續發生多起信用卡遭盜刷案, 被害住戶們沒有遺失信用卡, 仍發生信用卡遭盜刷, 且歹徒清一色在網路家庭 PCHOME 購物頻道, 盜刷筆記型電腦 桌上型電腦主機與 IPHONE 等高價 3C 電子產品 偵七隊透過信用卡風險管理中心追查, 發現發卡寄送過程並無漏洞, 且歹徒都是以假名 假地址及人頭電話上網盜刷, 研判社區內賊所為的可能性最大, 進一步鎖定替住戶代收信用卡郵件的社區保全員涉嫌重大 警方在保全員住處搜獲盜刷所得筆電 IPHONE 及 7 組信用卡號碼, 保全員坦承, 常代為簽收住戶信件, 拆閱信用卡公司寄給住戶的信用卡信件, 偷偷抄錄信用卡資料後, 再將信件黏好放回住戶信箱, 警方查獲的 7 組卡號, 是他準備拿來犯案的資料, 警方依竊盜 妨害秘密等罪嫌移送法辦 資料來源 : 中國時報 自由時報 83

84 消費後被網路盜刷卡 刷卡消費, 眼睛千萬不要離開自己的信用卡, 有加油站工讀生, 利用民眾加油不下車的盲點, 偷偷抄下信用卡號和背面的授權碼, 接著到網路消費盜刷, 有民眾因此損失十幾萬, 最後才發現, 怎麼信用卡沒掉也會被盜刷, 原來上面的個人資料, 已經在不知不覺的時候曝光 就是這個動作, 拿信用卡刷卡加油, 人卻不下車這張卡就這樣, 遠離自己的視線, 這段時間已經給了盜刷集團機會了 就是這家加油站的離職工讀生, 一手接過客人的信用卡, 另一手就開始抄資料, 抄什麼呢? 有什麼秘密藏在信用卡裡 首先抄下信用卡卡號, 然後卡片日期最重要的是, 背後小小的數字叫做授權碼 資料來源 : 華視 84

85 使用信用卡加入網路認證機制 85

86 大樓保全監守自盜押證遭盜辦手機 知名廣告的導演莊永新, 日前數度赴北市一家製片公司洽公, 將身分證 健保卡等證件, 輪番押在大門保全處, 未料竟遭保全員周嫌影印盜用申辦手機 警方在北縣板橋市實踐路 館前東路口路檢攔查時, 看見周嫌騎機車行經神態鬼祟, 將他攔下查驗身分, 卻意外發現其機車置物箱內, 有兩支新手機 門號及證件影本等資料, 由於影本上的姓名與周嫌不符, 警方認為事有蹊蹺, 而帶回偵訊, 因而破獲 資料來源 : 蘋果日報 86

87 處理網站資料須小心 宜蘭縣教育處把鐘點代課老師 168 人的個人資料全 po 在網路上, 縣議員謝志得昨天批評教育處洩露個人隱私觸法, 要求道歉 謝志得表示, 最近他接獲具名陳情, 指教育處在 宜蘭縣本土教育網, 公告 98 年教學支援工作人員認證合格名單, 也就是符合資格的鐘點代課老師的姓名 住址 家裡電話 公家電話 行動電話, 讓詐騙集團或有心人士有機可乘 教育處表示, 已將合格名單自網站中移除, 民眾無法自網站中瀏覽下載 資料來源 : 聯合報 87

88 建議學校因應方式 88

89 日常生活中防止個人資料外洩 信箱中的郵件隨時清理 與個人資料有關的紙本資料要先處理才能廢棄 各種帳單勿隨意棄置 個人資料勿隨意填寫給他人 勿在電話中將個人資料提供給他人 信用卡作廢先消磁, 剪斷時晶片也要剪碎 89

90 建議本校因應方式 關注個資法施行細則修訂的情形 識別個人資料所在, 辨識可能風險, 進行控制 指定個人資料專責單位及負責人 依照法規要求, 建立完善管理機制 90

91 建立個人資料保護管保護管理機制 制定個人資料保護管理程序個人隱私資料保護管理程序包括政策 組織 規劃 執行 檢查及改善 ; 當組織為其職務或業務而使用個人隱私資料時, 管理程序之目的為保護當事人個人資料的權利及利益 建立 : 即依據政策, 規劃管理程序相關事項, 包括指導方針 風險識別與分析 角色與權責 應變程序 實作 : 即執行管理程序之運作程序 蒐集 處理與利用原則 適當之控制 當事人之權利 教育訓練及認證 資料加密技術 存取控制技術 流程管理技術及內部防禦技術等 維護 : 即執行管理程序之檢查措施 文件管制 員工的監督 受託人的監督 訴怨及諮詢服務 改進 : 即執行管理程序之稽核措施 矯正與預防措施 管 理階層的審查 91

92 建立個人資料保護管保護管理機制 ( 續 ) 個人資料保護政策組織內的管理階層, 接受個人資料保護教育訓練後, 應該要建立組織之個人資料保護政策, 確保及維護所制定之政策 考量組織的營運內容與規模, 適當的蒐集 處理以及利用個人資料 ( 包含不超過利用目的以外範圍處理個人資料, 即目的外利用 ), 並採取所需的措施 嚴格遵守處理個人資料時, 所涉及到的法律 指導綱要及其他法令 預防個人資訊的洩漏, 損失或毀損, 及更正個人資料 訴怨及諮詢之回應處理 個人資料保護管理程序的持續改進 註記管理階層的姓名 個人資料保護政策文件化, 並告知ㄧ般人及員工 92

93 建立個人資料保護管保護管理機制 ( 續 ) 指導方針 組織於運作及營運上利用到的所有個人資料, 應建立個人資料確認程序, 並且持續維護此程序 組織於處理個人資料時, 應建立法律檢查程序, 以確認所涉及之相關個人資料處理的法律 指導綱要與其他法令, 並且持續維護此程序 風險識別與分析組織應建立與維護風險識別分析程序, 以採取必要的對策, 避免違背個人資料之利用目的 經確認之個人資料, 在蒐集 處理或利用等各種行為時, 組織應建立風險識別分析程序, 並且持續維護此程序 風險包括個人資料的洩露 損失 或毀損 ; 違反相關法律 指導綱要及其他法令 ; 假設性的經濟不利狀況 社會信心損失 或對個人影響等 遭遇風險時, 應採取必要的對策處理 93

94 建立個人資料保護管保護管理機制 ( 續 ) 角色與權責組織管理階層應指派適當的資源及角色來建立 執行 維護及改進個人資料保護管理程序, 並定義其責任及權責 組織管理階層應建立一個具有權責的角色, 能將個人資料保護管理程序種種要求事項落實於文件表格, 並能讓組織 內員工瞭解, 以有效執行個人資料保護管理程序 組織管理階層應任命一位個人資一位個人資料保護管保護管理程序的管程序的管理者, 這個角色應具備瞭解及實作本系統內容的能力 組織管理階層應賦予本系統管理者執行及運作個人資料保護管理程序之獨立權責, 以有別於其他部門 個人資料保護管理程序的管理者, 應將個人資料保護管理程序的運作狀況向組織管理階層報告, 以作為審視並改進個人資料保護管理程序之基礎 94

95 建立個人資料保護管保護管理機制 ( 續 ) 應變程序組織應建立緊急狀況應變程序, 當發生個人資料洩漏 損失及毀損時, 對組織的財務損失及社會信譽的損失 個人的影響等降到最小 發生個人資料洩漏 損失及毀損狀況時, 應定義人員及時通知的內容格式, 或當發生狀況時相關應對的內容格式 盡快公開宣布事實 原因及對策, 以預防二次損害, 及避免發生類似案件等 即時向相關組織通報原因與對策 運作程序組織應有清楚及明確的個人資料保護管理程序運作程序, 以確保個人隱私資料保護安全 蒐集 處理與利用原則 適當之控制 當事人的權利 教育訓練及認證 95

96 建立個人資料保護管保護管理機制 ( 續 ) 蒐集 處理與利用原則 組織應合法且適當的蒐集 處理個人資料 當組織蒐集 處理個人資料時, 應特定其利用目的, 且應在達成目的所需必要範圍內蒐集 處理之 個人資料之蒐集 處理或利用, 應尊重當事人之權益, 依誠實及信用方法為之, 不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯 組織不應蒐集 處理或利用有關醫療 基因 性生活 健康檢查及犯罪前科之個人資料 組織直接向當事人蒐集個人資料時, 應明確告知當事人蒐集個人資料之目的 類別 利用方式等 組織蒐集之個人資料非由當事人直接提供時之告知措施 96

97 建立個人資料保護管保護管理機制 ( 續 ) 適當之控制 組織在達成利用目的範圍內, 應控管個人資料的正確性, 且保持隨時更新的狀態 組織應依據個人資料處理的風險, 可採行必要且適當的措施, 如個人資料外洩保險措施 組織應指定專人處理個人資料檔案之安全維護事項, 防止個人資料被竊取 竄改 毀損 滅失或洩漏 個人資料被竊取 洩漏 竄改或遭受其他侵害時, 於查明後應以適當之方式通知當事人 97

98 建立個人資料保護管保護管理機制 ( 續 ) 當事人之權利 對個人資料而言, 組織有權責依對於當事人所有的請求作回應 組織應將個人資料檔案名稱 機關的聯絡方式 類別及利用目的等事項 公開於電腦網站, 或以其他適當方式供公眾查閱 ; 其有變更者, 亦同 當組織回應當事人時, 應注意不要造成當事人過重的負擔 組織應依當事人之請求, 就其蒐集之個人資料, 答覆查詢 提供閱覽或製給複製本 組織為維護個人資料之正確, 應依當事人之請求更正或補充之 個人資料正確性有爭議者, 應主動或依當事人之請求停止處理或利用 個人資料蒐集之特定目的消失或期限屆滿時, 應主動或依當事人之請求, 刪除 停止處理或利用該個人資料 違反法律規定蒐集 處理或利用個人資料者, 應主動或依當事人之請求, 刪除 停止蒐集 處理或利用該個人資料 98

99 建立個人資料保護管保護管理機制 ( 續 ) 教育訓練 組織應對員工定期舉辦適當的教育訓練, 並建立及維護教育訓練程序, 此程序可讓每一階層與部門的員工瞭解個人資料保護的基本認知 組織內的員工可瞭解個人資料保護管理程序的重要性及好處 組織內的員工可瞭解個人資料保護管理程序的角色及權責 組織內的員工可瞭解當違反個人資料保管理系統時, 可能會發生的結果 個人隱私資料保護教育訓練可依照不同角色及權責規劃設計, 可區分為初階教育訓練 進階個人資料教育訓練及專業教育訓練等 99

100 問題與討論 100

101 聯絡方式 葉益禎 Mobile: