數位時代,各行各業仰賴資訊服務系統的運作,使業務順利進展。從資訊服務業者角度而言,接受不同產業類型客戶委託,提供資通系統服務,例如協助客戶開設網站、蒐集、串接及管理訂單,或建置消費者管理系統等,而此些資通系統服務可能會蒐集、處理或利用消費者個人資料及交易過程。在現今駭客及詐騙猖獗的情況,如何保護客戶之消費者個人資料,避免遭外洩被第三人不當利用,已是資服業者提供資通系統服務時的必備條件。
在法規遵循層次上,今年6月2日個資法已修正施行第48條,針對未採取適當個資安全維護措施導致個資外洩的業者,提高罰則為新台幣2萬至200萬元罰鍰,並限期改正,若逾期未改正,則主管機關可連續裁處業者新台幣15萬至1500萬元罰鍰,作為受託蒐集、處理或利用消費者個資的資服業者不可不慎!而數位發展部作為資服業者的個資法主管機關,已依據個資法第27條授權,訂定「數位經濟相關產業個人資料檔案安全維護管理辦法」,並於今年10月12日發布施行,規範包含資服業者在內的數位經濟相關產業採行適當個資安全維護措施的相關標準,使業者有所依循。
為提升資服業者個人資料保護與資訊安全意識,財團法人資訊工業策進會科技法律研究所(資策會科法所)許哲銘法律研究員提及,資服業者承接業務前應評估客戶所屬產業應遵守之個人資料檔案安全維護管理辦法,其中所涉之個資相關規範及個資安全維護標準,是否為業者自身所能遵循及落實,以提供客戶符合其所屬產業法規所要求的資通系統服務,最大程度防止個資外洩的可能。
許哲銘法律研究員進一步說明,目前資通系統的個資安全維護,多要求資通系統具備固定登入IP位置、限制國外登入IP、系統登入採取雙(多)因子認證、帳號權限控管一人一帳號(避免多人共用一帳號)、系統建置登入及操作LOG紀錄等,這些都是資服業者平時可採取的基本措施。
另外, 資策會科法所為提升業界與民眾之個資保護與資安意識,將持續協助業者及民眾落實相關措施、降低威脅及避免發生損害,促進產業正向發展。
圖:資策會科法所許哲銘法律研究員於台北市電腦公會「強化資訊服務業資安與個資防護意識研討會」進行講座。