攝影／郭又華

歐洲資料保護委員會制定的《個資侵害通知範例指引》，以6大主題、共18種個資侵害事件為例，說明不同事件如何評估隱私風險，以及如何依據風險，做出最佳應對方式，以及典型錯誤應對方式。

企業須證明資安治理措施有效保護個資，發生事故才能免責

看回臺灣，資安治理是對臺灣企業來說更是不可忽視的議題。林逸塵引用一分資安業者2024年1月研究，臺灣6個月內，平均每周遭受2,930次網路攻擊，是全球平均的2.7倍。不僅遭受攻擊的風險高，一旦發生資料侵害事件，造成他人權益損害，企業還得負擔行政責任及民事責任，面臨鉅額罰款及賠償。

他以今年剛二審判決的一起飯店顧客個資外洩訴訟案為例，說明企業能如何因為資安治理不當而被究責。

事情經過是，有位民眾在飯店消費，後接到謊稱飯店客服的騙徒詐走近10萬元。原本消費者只寄送存證信函要求飯店刪除並不再使用自己個資，卻接連收到來自飯店簡訊，申訴後才知道，飯店的IT委外廠商曾通知飯店有5,423筆個資外洩，但飯店和IT業者都沒有通知顧客，這位受害民眾憤而提告。

因為一審只判飯店業者刪除並停止利用所有消費者個資。不過，受害民眾不服提起上訴後，雖然委任IT業者提供了多項資安作法的證據，例如對非允許IP進行阻擋之截圖、針對廠商帳號密碼及個人資料 AES256加密機制截圖、多重伺服器分散資料、主機帳密權限控管與RSA私鑰管理、限定防火牆規則截圖等多項文件，法院認定IT業者無法證明自己在個資外洩事件前，有妥善管理及維護相關系統，因而，改判決飯店業者及委任IT業者各賠2萬元給消費者。「雖然這次只有各罰2萬元，但如果考量行政罰鍰最高1,500萬元風險，以及5千多名遭外洩民眾的求償風險，企業潛在財務損失非常龐大。」林逸塵指出。

林逸塵進一步解釋，飯店及IT業者敗訴關鍵是，消費者沒有自行使用、管理個資的能力，舉證責任在資料控制方──企業必須證明事前有採取適當安全措施，沒有故意或過失，才能免除責任。二審中企業方提供的資料，都只能證明事件發生後的措施，無法證明事前做法保護消費者個資。這個案例說明，企業應妥善分析隱私風險、在個資侵害發生前採取適當安全措施，並有能力證明採用措施的有效性。

現行法規定義下，什麼樣的措施算「適當安全措施」？林逸塵也進一步解讀《個人資料保護法施行細則》第12條定義的適當安全維護措施項目。

第一項是，配置個資管理人員，甚至成立跨單位個資保護執行小組。第二、第三項是盤點組織內各種紙本及數位個資，以資料CIA等特性來評估隱私風險，並依據風險程度訂定安全管控程序。第四項則是強調制定事件通報管道，視情形需要聯絡主管機關及個資主體。第五項，是確保個資蒐集、處理及利用方式符合法規。

第六項則要在完成個資隱私風險盤點後，依照風險高低控管不同人員的存取權限。第七項得依照內部人員不同職務來規畫專屬個資保護的教育訓練。第八項是妥善管理有存放個資的設備。第九、第十項要求得建立資安稽核機制，追蹤並保存資料安全相關措施的紀錄和個資使用過程所產生的紀錄，能證明有善盡個資保護責任，以備舉證或接受稽核之需。第十一項則是要求企業，得持續改善個資維護做法，包括事故後檢討、時常檢視個資保護制度、審視制度落實程度，並保留執行過這些事的文件作為證據。