专家传真-第三方风险 如果教育部是一家上市公司
我们可以苛责教育部吗?
广义而言这是一个数据管理不当的案例,数据可能遗失、被盗、被窜改,而个资(PII)是所有数据类型中最受到关注的,因为连带引发个人信用被滥用、个资曝光等问题。
依据《个人资料保护法》姓名、出生年月日、身分证统一编号、护照号码、病历、健检、犯罪前科、财务情况皆属个资保护范围,毫无疑问「个人学习历程」应该是受到《个资法》规范的。
此案与一般网路攻击引发的资安事件有二大不同。
一、内忧比外患可怕,资安防护经常假想来自外部的攻击,但实际案例证明「坏蛋与天兵」更是关键,前者是怀有恶意的现任或离职员工,后者是指粗心大意或风险意识较低的员工。
二、涉及与第三方及供应链合作与管理的议题。
本事件中第三方就是暨南大学,本身也是公务机关,依个资法第31条就算教育部向暨南大学求偿,仍是由全民买单。
上市公司如何避免发生类似的事件?尤其涉及第三方合约,风险长、首席法律顾问与法遵长应该发挥什么样的功能?以下六点可供参考:1、由自身维护或合作伙伴和其他第三方持有的数据适用哪些法律规范?并且了解这些法规要求的安全措施跟保护机制,有哪些受管制的数据,其存在的位置与格式。
2、是否评估因PII保护不当被股东、投资人控告的可能性?相关法令要求采取合理或适当的措施来保护PII,但没有提供更具体明确的要求,使得公司易遭到股东以管理不当为由提出控诉,忽略集体诉讼或合并多起赔偿个案的可能性。
3、与供应商、合作伙伴的合约中是否保护了公司本身?并且是否定期检视合约?
4、与供应商、合作伙伴之间是否有管制风险?例如实施供应商风险计划或是第三方风险管理(Third Party Risk Management, TPRM),TPRM是一套监督与管理风险的标准流程,适用在公司与主要合作伙伴及供应商之间。美国国家技术与标准局(NIST)则提出网络供应链风险管理(Cyber Supply-Chain Risk Management, C-SCRM)。
5、是否有定期审查与更新稳私保护政策?涵盖对客户免责声明之流程。重点在于订定各项符合法规的标准与流程,并且确实遵守与定期的检视并确实留下相关纪录,乃至作必要之揭露。
6、资安保险相关评估与作业
在西方企业界资安保险已成为网路时代的标准配备,即使执行完善的风险缓解措施仍然不可能免除剩余财务损失,借由资安保险可转移剩余风险,在此仅出列出与PII毁损与灭失有关的损失或额外支出,例如:数位鉴识、资料修护、危机处理、法规法令要求、抗辩费用及和解金或赔偿金,但要注意在台湾,监理机构的巨额罚金是属于除外不保项目。
公部门需设法律顾问
至于投保保额则是需要财务长与CEO共同确认的,因为最终净财务风险将反映在公司的财报上。
虽然各级机关都宣称依法行政,但当今法规环境复杂多变,即使上市公司也不敢保证理解一切法令规定,况且公家机关没有首席法律顾问、法遵长、风险长,投入人力与预算皆不足,只能说教育部或其他公务部门发生类似事件只是早晚的问题。