個資法專欄/紙本文件個資防護疏失 學生個資遭外泄

圖、文/個資法專家敦化國中近日出了大紕漏訓導處一名組長爲了參與訓輔聯席會議,列印出6、7份高關懷學生名單,回辦公室後一時疏忽忘了將名單銷燬,直接丟入廢紙回收箱,被一名不知情的老師拿給學生再利用,導致部分學生看到名單內容,該老師發現後連忙回收,但已被學生用手機拍下外傳校方開會討論懲處,同時向校內教職員加強宣導個資保護。

若將此案件中的老師爲公司老闆,而拍照外傳學生爲公司員工,外泄出去的個資是機密性較高的文件事情還會是考量他非故意泄露且已獲得家長諒解,決以口頭告誡這麼簡單?第27條第1項「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或泄漏」;而如果不依這條的規定採行適當安全措施者,依第48條政府可以命限期改正,屆期未改正者,處新臺幣20,000元以上200,000元以下罰鍰。 個資法第29條第1項規定,如果企業「違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任」。在傳統觀念中,公司違法,老闆首當其衝,與員工無關;但是個資法正式上路後,即使是員工的「個人行爲」,只要造成個資外泄,就必須讓整個機關來負責賠償,以每人每次泄露500元至20,000元不等,最高甚至可達2億元之譜;除非機關能「證明自己無過失」,才能免除如此沈重的賠償責任。而「個資管理人」也將連帶處以與公司同樣金額之「行政罰鍰」。

個資法實行的這幾個月來,不論是政府、學校、企業…泄露個資的意外始終層出不窮,有的公司還不只發生一次。如果依法處理,有多少家公司捱得起上面這種賠償金?我們又要如何防範這樣的個資外泄個資持續發生??

資安界專家翁浩正表示:『中小企業除了要加強『個資盤點』、『個資保護』、『稽覈管理記錄』、『個資教育訓練』,完整PDCA(規畫、執行、稽覈、改善)之外,建議可以再加強DLP/DRM(資料外泄防制系統)將文件設定權限並且加設金鑰做控管。如此一來,若是真的發生的個資外泄事件(不論是人爲電腦駭客入侵)皆可以表示公司已採取了『適當之安全措施』並證明自己無過失。』