个资法专栏／纸本文件个资防护疏失　学生个资遭外泄

图、文／个资法专家敦化国中近日出了大纰漏，训导处一名组长为了参与训辅联席会议，列印出6、7份高关怀学生名单，回办公室后一时疏忽忘了将名单销毁，直接丢入废纸回收箱，被一名不知情的老师拿给学生再利用，导致部分学生看到名单内容，该老师发现后连忙回收，但已被学生用手机拍下外传；校方将开会讨论惩处，同时向校内教职员加强宣导个资保护。

若将此案件中的老师为公司老板，而拍照外传学生为公司员工，外泄出去的个资是机密性较高的文件，事情还会是考量他非故意泄露且已获得家长谅解，决以口头告诫这么简单?第27条第1项「非公务机关保有个人资料档案者，应采行适当之安全措施，防止个人资料被窃取、窜改、毁损、灭失或泄漏」；而如果不依这条的规定采行适当安全措施者，依第48条政府可以命限期改正，届期未改正者，处新台币20,000元以上200,000元以下罚锾。 个资法第29条第1项规定，如果企业「违反个资法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任」。在传统的观念中，公司违法，老板首当其冲，与员工无关；但是个资法正式上路后，即使是员工的「个人行为」，只要造成个资外泄，就必须让整个机关来负责赔偿，以每人每次泄露500元至20,000元不等，最高甚至可达2亿元之谱；除非机关能「证明自己无过失」，才能免除如此沈重的赔偿责任。而「个资管理人」也将连带处以与公司同样金额之「行政罚锾」。

个资法实行的这几个月来，不论是政府、学校、企业…泄露个资的意外始终层出不穷，有的公司还不只发生一次。如果依法处理，有多少家公司挨得起上面这种赔偿金？我们又要如何防范这样的个资外泄个资持续发生??

资安界专家翁浩正表示:『中小企业除了要加强『个资盘点』、『个资保护』、『稽核管理记录』、『个资教育训练』，完整PDCA(规画、执行、稽核、改善)之外，建议可以再加强DLP/DRM(资料外泄防制系统)将文件设定权限并且加设金钥做控管。如此一来，若是真的发生的个资外泄事件(不论是人为或电脑骇客入侵)皆可以表示公司已采取了『适当之安全措施』并证明自己无过失。』