专栏／个资外泄不得已　违规者成冤大头

文／个资法专家新版个资法通过后，资料保护范围不再只是电脑资料，纸本资料已成为不论是学校、政府或中小企业的最大隐忧。高市环保局寄送违反《废弃物清理法》罚单，若当事人行踪、住所不明未收到，姓名、住址等个人资料都将会被公开展示；此外高市卫生局执行《烟害防治法》，若受处分人行踪不明，裁处书无法送达，也会公告当事人姓名、身分证字号后4码，有民众质疑恐触犯《个人资料保护法》。环保局表示，因罚单无法送达，不得已才公告个资。不论是不是不得已，此事件已反应出了政府对于纸本文件保护的漏洞，以及个资防护被忽略的程度。安全维护必要措施：PDCA规画、执行、稽核、改善个资的防护非一蹴可成，必须要经过一连串的规划并执行以后，才能确保在个资的防护上到达一定的水准。机关如果能在发生个资外泄的事件而面对损害赔偿诉讼时，对法官证明自己已经采取了PDCA(规画、执行、稽核、改善) 的程序、对个资文件的保护措施也都有效执行，即可免责；若无法证明，只要造成个资外泄，整个机关必须负责赔偿，以每人每次泄露500元至20,000元不等，最高可达2亿元。而个资管理人也将连带处以与公司同样金额之「行政罚锾」。PDCA在个资法的适用上，台湾 BSI 总经理则更进一步的解释，让企业可以引用做为部属个资保护的入门 SOP ：1.「规画」：制订个资保护政策、设立专门组织、明订个资存取控管程序与方法。

2.「执行」：进行个资分类盘点与保护程序、落实个资保护宣导与教育训练。

3.「稽核」和「改善」：加强个资安全监控与检视、提高个资外泄事件反应能力、 重新审视与委外厂商的权利和义务以及遵守法规并落实内部稽核机制。资安专家翁浩正表示：「日本曾经调查资料泄露的管道，前三名分别是纸本、电脑及可携式媒体，其中又以纸本资料所占比重最高，进一步追究纸本资料遗失的原因，大多是因为多为收据（或类似证明文件）处理不当，及影印资料遗失。纸本与数位资料相比，保密措施显然是松散许多。一般人如果没有骇客技术，很难取走数位资料，但纸本文件可能只是随意存放在铁柜或木柜里，不需要太复杂的技术就能轻易取走，若不做好PDCA与轨迹资料的稽核，或将纸本文件数位化，再利用DLP/DRM资料外泄防制来设定文件权限与金钥，纸本文件将会成为资料保管一大缺口。毕竟纸本资料不比数位资料，不论是政府机关或是中小企业甚至是学校单位，唯有设好严格管理机制才能避免资料外泄风险。」

资料来源: DevCore http://dev-core.net/