个资法专栏/搜寻网址露履历 网站又泄个资
新北市的明志科技大学遭学生反映,使用入口网站搜寻学校的电子邮件信箱网域mail2.mcut.edu.tw,搜寻结果出现多笔同学在学校网站线上填写的个人履历,包括姓名、电话、地址、电子邮件、生日、大头照等个资遭泄露,学生直呼「太可怕了,网路上被迫公布个人资料。」 明志科技大学表示,委外厂商在做系统测试时,不慎外泄资料,会要求厂商负责。但依《个人资料保护法》规定,学生个人资料遭泄露,学校恐有损害赔偿责任。
不能证明无过失 就赔定了校方委外厂商疏失致学生个资泄露,可归责于校方,依照我国新版个资法第18条「公务机关保有个人资料档案者,应指定专人办理安全维护事项,防止个人资料被窃取、窜改、毁损、灭失或泄漏」,若是硬要推给厂商,照样可依个资法第29条第1项「非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限」。受害的学生可请求500元以上、2万元以下赔偿。
有什么样的资安解决方案,能在个资外泄的事件发生后,可证明自己无过失?又该从何做起?优硕资讯科技资安经理解忠翰表示:「个资法对于许多中小企业无疑是一个新的挑战。要符合精、省、速、效原则的个资保护措施:结合计划(Plan)、个资盘点(Inventory)、保护(Protection)及稽核(Audit),再透过教育训练(Training)、将纸本文件电子化后与将盘点出来的个资利用DLP/DRM加密,持续改善个资保护框架,采取恰当的保护措施,就可以免责。」
资料来源:优硕资讯科技http://www.trustview.com.tw