个资法专栏/政府门户洞开 个人资料恐不保
国家档案管理局传出遭骇客入侵,政府资安人员发现国家档案局的电子公文交换系统被骇客植入木马程式,透过网路进攻,包括中央及地方政府机关学校纷纷「中招」。为求彻底防范,行政院紧急通知机关学校重灌电脑,大动作全面更新七千多部电脑系统,但公文资料被外泄多少,尚无法清查。行政院资通安全办公室主任萧秀琴指出,已根据入侵骇客植入木马程式残留的痕迹溯源,追查骇客是从哪来的,而目前机密公文仍是透过纸本传送,电子公文交换系统处理的都是一般公文,不致于会有机密公文遭窃取。
政府资安出问题,已经不是第一次听说了,法务部曾被中国骇客入侵电脑,造成一审办案系统资料全部外泄;屏东县政府曾将一百多人的个资未经去识别化就上传到环保署网站供人查询浏览;今年初劳工局也曾将考绩册乱丢导致个资外泄。种种的事件来看,因资安漏洞导致个资外泄骇客办得到,政府或企业中的任何一个人都可以办得到。依新版个资法之「公务机关保有个人资料档案者,应指定专人办理安全维护事项,防止个人资料被窃取、窜改、毁损、灭失或泄漏」,这是强制性义务,但许多公务机关,却还是不了解何谓「指定专人办理个资安全维护事项」,依旧互相踢皮球,掩盖个资外泄的事实。
知名资安专家表示:「不只是公务机关必须指定专人办理安全维护事项,一般企业更应该订定『个资安全维护计划』的制度,积极实行『个资教育训练』、『个资盘点』、『个资保护』、『稽核管理记录』,才能在发生事情的同时证明自己无过失。
不然依个资法对政府机关及民间组织祭出明确的损害赔偿标准,个资外泄的受害者,每人可向法官申请五百到两万的范围内核定赔偿额。单一个案,最高还能判赔到两亿。市面上究竟有没有合适的资安解决方案?从现行科技水准看,由于DLP及DRM这两种东西都已经是相当成熟的技术,并且在取得成本上也有多种可选择的方案可以斟酌,不致于让企业陷入负担不起的窘境,所以倘若企业连如此基本的防护都怠于采用,在个资被骇的不幸发生时,从客观上显然将无法证明已经采取了适当之安全措施,在主观上更难以用自己对于个资的外泄没有过失来自辩。依法定标准负赔偿责任,恐怕就会成为当然之结果了。」