立法院今(16)日三讀通過個人資料保護法部分條文修正案,針對一般民間企業對消費者的個資管理,採取「提高金額處罰」、「檢查違規就罰」,及「按次連續處罰」這三個方向,並指定「個人資料保護委員會」為個資法主管機關,KPMG安侯企業管理(股)公司董事總經理謝昀澤表示,政府對業者「主動監理」的時刻來臨了,但配合修法方向,還有包含「業者對個資保護的落實」,及「民眾對個資保護意識的提高」等兩項關鍵因素,才能成功拆彈,真正降低近期層出不窮的個資外洩風險。過去業者普遍存在「只要不出包就沒事」、消費者也有「我怎麼可能被詐騙?」的僥倖心態,應該要立即調整。
謝昀澤分析,近期暴雷的多起個資外洩事件,雖個案原因尚待調查,但一般業者常見的疏失不脫人員、系統與流程三大層面,如系統漏洞遭到利用、防火牆及其他雲端服務安全設定錯誤、內部管理人員或委外廠商疏失或遭社交工程入侵電腦等。近期有網路服務業者將客戶的個人資料放在雲端,卻未設置權限控管,導致不需要駭客技術的一般人,就可以進入雲端資料庫將機敏的個資一覽無遺,就是一個最明顯的業者管理疏失案例。
實務上,謝昀澤認為企業除基本的防毒防駭系統外,可考慮導入資料盜失防護(DLP)等進階機制,並確實監控資料庫活動,以便及時發現異常流量。管理流程上,建議參考國際與國內資安標準,如ISO27001(資安管理制度)、ISO27701(隱私保護制度)等規範要求,增強資安防護措施。特別針對近期外洩熱區產業,如網路電商、旅宿觀光、交通等業者,更需要積極備戰。
謝昀澤也提醒民眾,個人的個資保護意識,也是影響自身隱私的重大關鍵。消費者應隨時提高警覺,未經確認不任意提供資料、不開啟來路不明的電子郵件及附加檔案、不登入未經確認的陌生網站,以避免社交工程的攻擊傷害。近期各式的詐騙手法不但充滿專業性、多樣性,且非常貼近生活與時事,如每年的退稅季、旅遊季,或特定商品的熱銷季等,都是詐騙集團的大忙季,民眾應多關注165反詐騙網站所提供之最新詐騙宣導資訊。
如消費者個資外洩,是否可以求償?KPMG安侯法律事務所鍾典晏合夥律師說明,以2017年發生EZ訂(EZding)購票平臺個資外洩一案為例,被害人向該平台提告,包含被騙損失的25萬多元,以及個資法第29條規定的2萬元賠償,還有個資外洩帶來的精神慰撫金5萬元。該案經二審判定用戶遭詐欺侵權行為的損害賠償,也應付起7成責任,而最終裁定賠償18萬3,274元。鍾典晏特別提醒業者,未來如發生相關事件,業者所受裁罰尚包含修法後,主管機關另行處罰的高額罰款,企業對消費者個資的保護程度,應該立即精進。