个资法专栏/纸本文件个资防护疏失 学生个资遭外泄

图、文/个资法专家敦化国中近日出了大纰漏训导处一名组长为了参与训辅联席会议,列印出6、7份高关怀学生名单,回办公室后一时疏忽忘了将名单销毁,直接丢入废纸回收箱,被一名不知情的老师拿给学生再利用,导致部分学生看到名单内容,该老师发现后连忙回收,但已被学生用手机拍下外传校方开会讨论惩处,同时向校内教职员加强宣导个资保护。

若将此案件中的老师为公司老板,而拍照外传学生为公司员工,外泄出去的个资是机密性较高的文件事情还会是考量他非故意泄露且已获得家长谅解,决以口头告诫这么简单?第27条第1项「非公务机关保有个人资料档案者,应采行适当之安全措施,防止个人资料被窃取、窜改、毁损、灭失或泄漏」;而如果不依这条的规定采行适当安全措施者,依第48条政府可以命限期改正,届期未改正者,处新台币20,000元以上200,000元以下罚锾。 个资法第29条第1项规定,如果企业「违反个资法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任」。在传统观念中,公司违法,老板首当其冲,与员工无关;但是个资法正式上路后,即使是员工的「个人行为」,只要造成个资外泄,就必须让整个机关来负责赔偿,以每人每次泄露500元至20,000元不等,最高甚至可达2亿元之谱;除非机关能「证明自己无过失」,才能免除如此沈重的赔偿责任。而「个资管理人」也将连带处以与公司同样金额之「行政罚锾」。

个资法实行的这几个月来,不论是政府、学校、企业…泄露个资的意外始终层出不穷,有的公司还不只发生一次。如果依法处理,有多少家公司挨得起上面这种赔偿金?我们又要如何防范这样的个资外泄个资持续发生??

资安界专家翁浩正表示:『中小企业除了要加强『个资盘点』、『个资保护』、『稽核管理记录』、『个资教育训练』,完整PDCA(规画、执行、稽核、改善)之外,建议可以再加强DLP/DRM(资料外泄防制系统)将文件设定权限并且加设金钥做控管。如此一来,若是真的发生的个资外泄事件(不论是人为电脑骇客入侵)皆可以表示公司已采取了『适当之安全措施』并证明自己无过失。』