专家传真－第三方风险 如果教育部是一家上市公司

我们可以苛责教育部吗？

广义而言这是一个数据管理不当的案例，数据可能遗失、被盗、被窜改，而个资（PII）是所有数据类型中最受到关注的，因为连带引发个人信用被滥用、个资曝光等问题。

依据《个人资料保护法》姓名、出生年月日、身分证统一编号、护照号码、病历、健检、犯罪前科、财务情况皆属个资保护范围，毫无疑问「个人学习历程」应该是受到《个资法》规范的。

此案与一般网路攻击引发的资安事件有二大不同。

一、内忧比外患可怕，资安防护经常假想来自外部的攻击，但实际案例证明「坏蛋与天兵」更是关键，前者是怀有恶意的现任或离职员工，后者是指粗心大意或风险意识较低的员工。

二、涉及与第三方及供应链合作与管理的议题。

本事件中第三方就是暨南大学，本身也是公务机关，依个资法第31条就算教育部向暨南大学求偿，仍是由全民买单。

上市公司如何避免发生类似的事件？尤其涉及第三方合约，风险长、首席法律顾问与法遵长应该发挥什么样的功能？以下六点可供参考：1、由自身维护或合作伙伴和其他第三方持有的数据适用哪些法律规范？并且了解这些法规要求的安全措施跟保护机制，有哪些受管制的数据，其存在的位置与格式。

2、是否评估因PII保护不当被股东、投资人控告的可能性？相关法令要求采取合理或适当的措施来保护PII，但没有提供更具体明确的要求，使得公司易遭到股东以管理不当为由提出控诉，忽略集体诉讼或合并多起赔偿个案的可能性。

3、与供应商、合作伙伴的合约中是否保护了公司本身？并且是否定期检视合约？

4、与供应商、合作伙伴之间是否有管制风险？例如实施供应商风险计划或是第三方风险管理（Third Party Risk Management, TPRM），TPRM是一套监督与管理风险的标准流程，适用在公司与主要合作伙伴及供应商之间。美国国家技术与标准局（NIST）则提出网络供应链风险管理（Cyber Supply-Chain Risk Management, C-SCRM）。

5、是否有定期审查与更新稳私保护政策？涵盖对客户免责声明之流程。重点在于订定各项符合法规的标准与流程，并且确实遵守与定期的检视并确实留下相关纪录，乃至作必要之揭露。

6、资安保险相关评估与作业

在西方企业界资安保险已成为网路时代的标准配备，即使执行完善的风险缓解措施仍然不可能免除剩余财务损失，借由资安保险可转移剩余风险，在此仅出列出与PII毁损与灭失有关的损失或额外支出，例如：数位鉴识、资料修护、危机处理、法规法令要求、抗辩费用及和解金或赔偿金，但要注意在台湾，监理机构的巨额罚金是属于除外不保项目。

公部门需设法律顾问

至于投保保额则是需要财务长与CEO共同确认的，因为最终净财务风险将反映在公司的财报上。

虽然各级机关都宣称依法行政，但当今法规环境复杂多变，即使上市公司也不敢保证理解一切法令规定，况且公家机关没有首席法律顾问、法遵长、风险长，投入人力与预算皆不足，只能说教育部或其他公务部门发生类似事件只是早晚的问题。