iThome
对於2023年企业资安事件频传的现况,在关注勒索软体骇客锁定上市柜公司攻击,正持续造成更多的危害之余,另一个企业同样要正视的风险,是个资曝险、机敏资料与个资外泄的发生,现在对国内普遍企业已经带来更多的影响。
在近年诈骗横行之下,个资外泄早已受到社会大众的广泛关注,像是诈骗份子可以清楚说出民众订单的状况,屡屡登上社会新闻版面。如今我们注意到,这些事件若出自上市柜公司,他们也开始发布这类重大讯息公告,我们总共发现有6起这方面的事故。
更不容企业忽视的是,不只个资相关的重大讯息2023年更常见,最近几个月以来,我们接连看到上市柜公司发布的公告很特别,因当中说明因违反个人资料保护法(个资法)受主管机关开罚,这一现象的出现,突显企业经营层需更重视个资保护。
个资外泄消息不断受媒体关注,近一年也登上重讯版面
先来看看2023年台湾上市柜公司在证交所公开资讯观测站发出的重讯,哪些与个资曝险,或个资及资料外泄有关?
首先,关於个资曝险的事件,有两起均发生在2月。先是和泰汽车发布重讯,这篇公告的标题是「澄清自由时报报导」,说明旗下和云行动服务公司的个资曝险问题已改正;接下来,还有裕融的重讯发布,标题是「针对媒体报导提出说明」,当中描述格上汽车租赁公司的个资曝险问题,已经及时因应。
在资料与个资外泄方面,华航揭露资料外泄事件,该公司在2023年1月先是发出说明媒体报导的重讯,以回应会员资料被公开在国外论坛的情形, 2月他们再次发布重讯,揭露了先前事件已有新的後续发展,说明查出委外电商平台系统连线异常,并公布确切影响范围,有5千多笔会员资料遭撷取。
3月宏碁发布相关重讯,内容是针对印度售後服务系统遭骇事件,以针对媒体报导方式说明,公布该公司的具体调查结果,指出是因为商业夥伴密码保存与管理不当,因此造成产品维修等内部资料外泄。
5月诚品发布重讯,是针对疑似个资外泄的事件,以回应媒体报导方式说明。该公司主要针对许多网购民众接获诈骗电话,且诈骗方清楚民众的订单内容一事,表示将配合数位发通知前往说明。
从上述的重讯发布来看,尽管不容易从标题看出与资安议题相关,需要各界进一步的检视与关切後续发展,不过,比起过去重大讯息少有说明这方面的消息,有厂商愿意公布这方面的状况,已有很大的差异。
3家上市柜公司因个资外泄,受个资法与银行法裁罚
对於企业而言,不只需要留意2023年个资相关重讯的增加,还有一个新的转变需要重视,那就是:出现企业因个资外泄事件遭主管机关裁罚,并且发布重大讯息的情形。
最近我们整理到数起案例,由於这些都是先前资安事件发生的後续,因此,多数企业可能还没注意到此一态势。
为何我们这麽说?2023年台湾上市柜公司遭网路攻击的资安事件重大讯息,总共有17个,特别的是,其中两起事件,我们发现其实与该公司後续的重大讯息有关,而且是涉及个资法的裁罚;有一起事件也相当特殊,发生在金融业,也与个资外泄有关,但主管机关是依银行法处置。例如:
(一)诺贝儿在10月公告遭受网路骇客攻击事件,经过3个礼拜,该公司发布另一则重大讯息:「公告本公司接获高雄市政府裁处书罚锾乙案」,说明该公司违反个人资料保护法第27条规定,依同法第48条规定,遭高雄市政府处以15万元罚锾。
(二)雄狮在11月公告遭受骇客网路攻击,到了2024年1月,该公司发布了另一则重大讯息:「公告本公司受交通部裁罚案之说明」,当中指出两个月前遭骇客网路攻击,导致发生该次资安事件,并受到交通部依违反个人资料保护法第27条第1项,处以200万元罚锾。
(三)上海商银在11月发布受金管会裁罚的重讯,内容乍看未涉及资安事件,但在同一日在金管会召开的例行记者会,恰巧提出这方面的清楚说明。金管会当时表明,是针对该银行客户资料外泄所涉缺失,依据违反银行法第129条第七款,处以1千万元罚锾,并要求4大监理事项。因此,这起重讯事件,其实也与个资外泄情事有关。而且,对於受高度监管的金融业,其主管机关金管会可运用的资源与规范,也明显更多。
企业需重视2023年个资法修法,裁罚金额与方式已经改变
由於过去上市柜公司的重大讯息发布,我们很少看到这方面的资安事件,但2023年後的变化却是如此明显,这背後的原因是什麽?虽然大家可能已经注意到去年个资法修法,还有个资保护委员会将要成立,但这些动向对企业又呈现出何种意义?
对此问题,关注个资法遵议题超过十年的达文西个资暨高科技法律事务所所长叶奇鑫表示,自从前几年我国不断传出个资外泄与诈骗事件,如今政府对於个资保护的规范,是越来越严格。
对於2023年个资保护的态势变化,他认为,从2022年下半年开始,整个个资保护的氛围,就已经变得不同。不论是否为上市柜公司,都会受到两大监管压力,一是中央目的事业主管机关,一是165反诈骗谘询专线,如果是上市柜公司,还会面对来自证交所、金管会的压力。换言之,个资法的修正不仅影响上市柜公司,也将影响普遍企业。
到了2023年5月个资法修法通过後,6月2日生效,更是带来新的转变。因为违反个资法的罚锾从过去2万到20万元,修改为2万到200万元,情节重大者可处15万元到1,500万元。
而且,裁罚的方式也有变化,之前是要求限期改正、不一定会罚,现在是「一定会罚」,可直接开罚并要求改善。这主要是因为政府展现积极打诈的决心,将这些机制涵盖於打诈5法。
从这一年来的台湾个资外泄开罚的状况来看,可以印证这个观点。例如,数位部产业署在2023年5月,就曾针对虾皮开罚,该公司个资保护程序没做好,委外厂商未落实监督管理等,且届期仍未改正,甚至态度恶劣,被开罚当时最高的20万元。
到了2024年1月,雄狮因两个月前遭骇事件,被交通部依个资法开罚200万元。之所以罚锾增加,就是因为个资法裁罚金额与方式改变,至於重罚的原因,我们推测可能与该公司是近年第二次遭骇有关。
单就上市柜公司而言,我们还发现,先前数位部产业署在2023年5月也曾针对诚品生活开罚,到了下半年,我们则是看到诺贝儿、雄狮发布遭个资法裁罚的重大讯息。相较之下,之前诚品发生这类状况时,并未发布这方面的重讯,显然,现在这方面的资讯揭露,将开始成为业界常态。
不仅如此,企业需体认到一件事:现在需要更明确的揭露个资外泄事件。
最近我们注意到,在2024年1月,上市运动休闲业者柏文发布的重大讯息,公告了旗下健身工厂会员个资遭骇客窃取事件的说明,虽然这发生在2023年7月,但在重讯标题上,已经清楚写明本次事件与个资遭窃有关。
此外,我们发现证交所最近有修订规范。在2024年1月18日公布的新版「重大讯息发布应注意事项参考问答集」,首度明确规范资安事件的「重大性」标准,包括:公司的核心资通系统、官方网站或机密文件档案资料等,遭骇客攻击或入侵(包括遭入侵、破坏、窜改、删除、加密、窃取、DDoS等),致无法营运或正常提供服务,或有个资外泄的情事等。即属造成公司重大损害或影响。言下之意,涉及个资外泄的资安事件,确实已经明订要发布重大讯息。
对於我们观察到的这些现况变化,叶奇鑫指出,2023年只是开始,当企业看到越来越多同业揭露曾遭遇骇客攻击、以及揭露因个资法被罚,会更明确感受网路攻击的风险,察觉法规已有变化。
一年後个资保护委员会即将成立,届时个资规范与要求还会再升级
为了让大家更清楚个资保护规范的态势,叶奇鑫针对近年我国个资保护的重要变化,提出详细说明。
自2021年8月开始,行政院决议成立行政机关落实个人资料保护执行联系会议,到了2022年7月,行政院订颁「新世代打击诈欺策略行动纲领」,此後一旦公司发生个资事故,就必需通报主管机关,然後主管机管要通报国发会与资安主管机关,还要副知中央主管机关(行政院),若是大型事件,更是会亲自召开会议出来管。
换言之,从2022下半年开始,建立这个标准流程之後,变成每件个资事故都不会逃过政府的监管。这也意味着,未来个资保护将成为企业更大的挑战,其原因就是:政府开始加重打诈的力道,立法院也通过这方面的修法。
而2023年新版个资法的推出,对於企业而言,有两点需要特别重视。
首先,第1条之1,增订「个人资料保护委员会」为个资法主管机关,此事的源头是111年宪判字第13号,大法官要求要设立个资保护专责机关机制,也就是专责机关。如今,这个备受外界关注的个资保护委员会,已在最近2023年12月成立筹备处。
其次,第48条,针对违反安全维护义务,修正了裁罚的上限与方式,改为应处2万元到200万元的罚锾,情节重大者更是可处15万元到1,500万元,并且是迳行处罚时同时命令改正。相较之下,过去这方面的最高罚锾,只有20万元,而且仅要求限期改正,且不一定会罚。
叶奇鑫提醒,未来的个资规范与要求还会再升级。这是因为,个资保护委员会组织法的通过,预计是在2024年底或2025年第一季,也就是说,之後就会设立成为正式机关。届时,个资法裁罚将会迈入下一篇章。不像过往一直没有专业且独立的主责机关,而且个资法也势必将迎来第3次大修法。
过去没做好个资保护的准备,如今企业不能再无视
从最近的企业因个资外泄遭罚案例,我们可以发现存在裁罚机关不同的情形,像是雄狮是受交通部裁罚,诺贝儿是受高雄市政府裁罚,因此,不全然是中央目的事业主管机关。
对此,叶奇鑫认为,就目前现况来看,的确会有管辖重叠的状况,这可能需要政府纵向与横向的沟通协调。毕竟,不论地方政府或中央目的事业主管机关,两者同样有这方面的权限,而一家公司如果跨不同产业,也可能受不同主管机关所管辖。这的确是未来政府监管上,需要注意的问题。
但对於企业而言,重点是不要以为只是外泄用户的个资、事不关己,因为,现在已有上市柜公司遭个资法裁罚200万元的情形。
叶奇鑫认为,光是注意其他公司受个资法开罚这件事,就是好的开始。因为很多企业不知道2023个资法已经修法。
「只有知道规范现况,才能更主动因应。」叶奇鑫强调,普遍企业因为还没出事,所以可能没有感觉,但是,现在只要一发生这类状况,企业若是仍没有准备,就会遭受很大的冲击。
这是因为,现在针对个资外泄事件,政府的行政检查都是整套在进行,还会有附带检查,也就是不仅止於这次事件所发现的问题,还会针对公司整体个资保护、资安盘查。以了解公司在事件中应负起的责任,进而决定轻罚与重罚。
换言之,如果企业平常没有做好个资保护,不论是程序书、管理规定、个资盘点,当事件爆发、企业在面对行政检查时,往往连这些基本文件都缴交不出来,此时面临重罚的可能性自然更高。
双管齐下!政府祭出行政裁罚与行政规范,也提供相关实作指引手册
最後我们要提醒大家的是,企业不只面对上述个资保护行政裁罚,还需留意各产业也有对应的行政规范需遵循。
这是因为,针对不同产业,各部会将制定个人资料档案安全维护管理办法,若企业违反规定,政府同样可以开罚。
这部分最受瞩目的焦点是,近年国内电商个资外泄情形越来越严重,因此,数位发展部2023年10月依据个资法第27条第3项规定,订定「数位经济相关产业个人资料档案安全维护管理办法」,要求订定安全维护计画,并可派员到场实施个资检查。若业者违反这项办法,最重将开罚1500万元。
而受此项规范约束的产业,不只涵盖综合性电商,还有软体出版业、其他资讯服务业,以及第三方支付服务业等。
值得企业关注的是,这些个资维护管理办法,其实涵盖了多种产业。换言之,不是只有电商相关业者要重视。
举例来说,以个人资料档案安全维护管理办法而言,针对的产业还有很多,单以近期来看,还包括:综合商品零售业,制造业及技术服务业等众多产业。
另一方面,有些企业可能仍不知如何保护个资,对此国内主管机关也打算出手帮忙,正在制定相关实作指引文件,引导企业落实。
例如,为了帮助电商业者落实个资保护,数位部在12月释出指引手册:「有关电商业者落实数位经济相关产业个人资料档案安全维护管理办法参考指引」,让缺乏这方面认知的企业,至少能有一份可依循的资讯,以落实个资保护与管理。而从参考指引来看,也可看出不仅是电商业者,也有针对资讯服务业(资讯服务业落实个人资料保护暨资讯安全参考指引)、网路连线游戏事业(网路连线游戏事业落实数位经济相关产业个人资料档案安全维护管理办法参考指引)等的指引。
综观上述态势,不论上市柜公司、所有不同产业的公司,对於提升个资保护的能力,不论是从管理面、技术面,都不能像过去一样,毫无任何作为。
个资保护法制不再空转,法制专业人力逐渐到位
企业不是不知道个资保护的重要性,因为个资法从2012年实施以来,应该已经引发大家对这方面议题的重视与讨论,但由於多年来几乎看不到相关事件的裁罚,使得只有少数企业愿意主动做好个资保护,不少企业仍在观望、态度消极。
之所以早期少有个资法裁罚,我们认为,这很可能与相关配套不够健全有关,不只是缺乏个资主责机关,也缺乏充足的专业人力。
据我们了解,现在已有很大的改变。例如,过去在法务部时代,负责个资法法制的人力,其实只有3个科员与1个科长,而且这组人马其实同时负责8个法,个资法只是其中之一。
而近年国发会接手之後,就国发会的法制协调处而言,在10个负责的人员当中,就有超过半数具备个资法专业能力。
而根据去年12月行政院发布的相关消息指出,光是个资保护委员会筹备处的初期编制,就有36人,整体编制的员额更高达89名。
可以想见的是,日後企业面对个资外泄事件时,政府在法制面推动工作的专业人力能量大增,那时将完全不可同日而语。
换言之,以後企业组织面对个资外泄事件,就可能面临30多位负责个资法法制人力的局势,而不是只有4个人在兼办。
个资保护不力更成企业营运风险!企业除了关注上市柜公司因资料外泄受裁罚,以及2023年个资法修正,更要注意的是,个资保护委员会筹备处已在2023年12月揭牌,届时个资规范与要求裁罚还会更升级。图片来源/行政院
美国政府与企业如何强化个资防护?
在关注台湾上市柜公司遭个资法裁罚之余,我们也持续注意国际这类监管议题的态势。以美国为例,当地企业向美国缅因州检察长办公室通报事件,使得事件调查报告曝光於外界,因此我们可以发现,这些公司除了通知受影响的用户,还会提供一年免费信用监控与身分窃盗保护服务,显然与台湾相比有很大的不同。
对此,叶奇鑫表示,美国在一些法制面上很特殊,像是检察长可以代表全州州民对企业提出资料外泄相关的民事诉讼,因为当地有这个制度,企业就会面临很大的诉讼风险,甚至可以看到上百亿的求偿,因此会对企业经营带来相当大的压力。
相对而言,台湾这方面的诉讼风气并不兴盛,这也使得上市柜企业经常认为,事件发生对实质财务风险不高,这是台湾可以改进的部分。
但他也指出,国内在某些方面其实已有进步,像是当发生资安事故时,需要提交事件调查报告,主管机关的报告也要通报至国发会(或未来的个资保护委员会),审完才会结案,因此管控程序已经建立,只是事件调查报告没有对外揭露;关於通知受个资外泄事件影响用户,现在也有严格规定,需要依照政府机关提供的公版发送通知,当中需写明被骇客攻击及说明如何因应。
相关报导
