个资法专栏/公然利诱泄个资 已触个资法不自知
千防万防,家贼难防。前年曾发生一起张姓男子传真诈骗事件,多家饭店收到诈骗传真:「只要收集一组个人资料可赚1000元,一组个人资料必须有的资讯为:姓名、身分证字号、出生年月日、地址加上信用卡卡号、有效期限和末3码」,窃取客人的个资后,供张嫌盗刷购买3C产品,再低价转卖图利,累计获利约100多万元,共有20多名持卡人受害。」宜兰某饭店的23岁员工被捕后坦承,他替客人刷卡时,利用数位相机拍下信用卡卡号,再记下信用卡背面的末3码,连同客人的姓名、身分证字号、出生年月日E-mail给张姓嫌犯。
以上述案例来看,若是企业中也发生同样事件,依照个资法第二十九条第一项规定:「非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限」。没有妥善的处理这些纸本文件及电子档案中的个人资料,经营者或是负责人员都可能必须负起民事、刑事和行政责任,依个资法规定,违规「搜集」或「利用」个资,最重可处五年有期徒刑」。而罚锾也不再是轻如鸿毛,如被害人不易或不能证明其实际损害额时,得请求法院依侵害情节,以每人每一事件新台币500元以上20,000元以下计算。因此不论你企业内主管还是员工,都不能忽视「个资法」所带来的影响。
优硕资讯科技文件保护专家解忠翰表示:「个资法要求民营企业及公务机关必须订定个资安全维护计划,采取适当的个资保护措施,善尽个资保管责任。如果内部及委外个资档案没有受到适当的保护,造成个资外泄事件发生,泄密单位及个资相关负责人可能都会被告,并遭受到高额罚款或法律刑责。应该怎么做,才能在碰到个资法的时候保护自己?一般企业其实都希望找到一套省钱快速又有效的方法来防治个资外泄,除了完善PDCA 机制,即规划 (Plan)、执行 (Do)、查核 (Check)、行动及改进 (Action)之外,做好个资盘点、稽核纪录管理、利用DLP/DRM技术将文件加密保护。再来就是实施教育训练,让员工能够明白的了解个资法对自身和公司的冲击。市面上已经有相当多的资安厂商推出各种不同的个资文件保护方案,各机关可以锁定对自己性价比、C/P 值高的来采用。」