【個資保護成為企業無法迴避的挑戰】企業因個資外洩受罰也是資安重訊
· 2024-03-11

近年個資外洩事件的發生,屢屢成為社會新聞矚目焦點,過去一年來,上市櫃公司在重大訊息也開始揭露這方面的資訊,而部分公司因此遭罰的狀況也浮上檯面

企業需重視2023年個資法修法,裁罰金額與方式已經改變

由於過去上市櫃公司的重大訊息發布,我們很少看到這方面的資安事件,但2023年後的變化卻是如此明顯,這背後的原因是什麼?雖然大家可能已經注意到去年個資法修法,還有個資保護委員會將要成立,但這些動向對企業又呈現出何種意義?

對此問題,關注個資法遵議題超過十年的達文西個資暨高科技法律事務所所長葉奇鑫表示,自從前幾年我國不斷傳出個資外洩與詐騙事件,如今政府對於個資保護的規範,是越來越嚴格。

對於2023年個資保護的態勢變化,他認為,從2022年下半年開始,整個個資保護的氛圍,就已經變得不同。不論是否為上市櫃公司,都會受到兩大監管壓力,一是中央目的事業主管機關,一是165反詐騙諮詢專線,如果是上市櫃公司,還會面對來自證交所、金管會的壓力。換言之,個資法的修正不僅影響上市櫃公司,也將影響普遍企業。

到了2023年5月個資法修法通過後,6月2日生效,更是帶來新的轉變。因為違反個資法的罰鍰從過去2萬到20萬元,修改為2萬到200萬元,情節重大者可處15萬元到1,500萬元。

而且,裁罰的方式也有變化,之前是要求限期改正、不一定會罰,現在是逕行處罰時同時命令改正,也就是「一定會罰」。這主要是因為政府展現積極打詐的決心,將這些機制涵蓋於打詐5法。

從這一年來的臺灣個資外洩開罰的狀況來看,可以印證這個觀點。例如,數位部產業署在2023年5月,就曾針對蝦皮開罰,該公司個資保護程序沒做好,委外廠商未落實監督管理等,且屆期仍未改正,甚至態度惡劣,被開罰當時最高的20萬元。

到了2024年1月,雄獅因兩個月前遭駭事件,被交通部依個資法開罰200萬元。之所以罰鍰增加,就是因為個資法裁罰金額與方式改變,至於重罰的原因,我們推測可能與該公司是近年第二次遭駭有關。

單就上市櫃公司而言,我們還發現,先前數位部產業署在2023年5月也曾針對誠品生活開罰,到了下半年,我們則是看到諾貝兒、雄獅發布遭個資法裁罰的重大訊息。相較之下,之前誠品發生這類狀況時,並未發布這方面的重訊,顯然,現在這方面的資訊揭露,將開始成為業界常態。

不僅如此,企業需體認到一件事:現在需要更明確的揭露個資外洩事件。

最近我們注意到,在2024年1月,上市運動休閒業者柏文發布的重大訊息,公告了旗下健身工廠會員個資遭駭客竊取事件的說明,雖然這發生在2023年7月,但在重訊標題上,已經清楚寫明本次事件與個資遭竊有關。

此外,我們發現證交所最近有修訂規範。在2024年1月18日公布的新版「重大訊息發布應注意事項參考問答集」,首度明確規範資安事件的「重大性」標準,包括:公司的核心資通系統、官方網站或機密文件檔案資料等,遭駭客攻擊或入侵(包括遭入侵、破壞、竄改、刪除、加密、竊取、DDoS等),致無法營運或正常提供服務,或有個資外洩的情事等。即屬造成公司重大損害或影響。言下之意,涉及個資外洩的資安事件,確實已經明訂要發布重大訊息。

對於我們觀察到的這些現況變化,葉奇鑫指出,2023年只是開始,當企業看到越來越多同業揭露曾遭遇駭客攻擊、以及揭露因個資法被罰,會更明確感受網路攻擊的風險,察覺法規已有變化。

一年後個資保護委員會即將成立,屆時個資規範與要求還會再升級

為了讓大家更清楚個資保護規範的態勢,葉奇鑫針對近年我國個資保護的重要變化,提出詳細說明。

自2021年8月開始,行政院決議成立行政機關落實個人資料保護執行聯繫會議,到了2022年7月,行政院訂頒「新世代打擊詐欺策略行動綱領」,此後一旦公司發生個資事故,就必需通報主管機關,然後主管機管要通報國發會與資安主管機關,還要副知中央主管機關(行政院),若是大型事件,更是會親自召開會議出來管。

換言之,從2022下半年開始,建立這個標準流程之後,變成每件個資事故都不會逃過政府的監管。這也意味著,未來個資保護將成為企業更大的挑戰,其原因就是:政府開始加重打詐的力道,立法院也通過這方面的修法。

而2023年新版個資法的推出,對於企業而言,有兩點需要特別重視。

首先,第1條之1,增訂「個人資料保護委員會」為個資法主管機關,此事的源頭是111年憲判字第13號,大法官要求要設立個資保護專責機關機制,也就是專責機關。如今,這個備受外界關注的個資保護委員會,已在最近2023年12月成立籌備處。

其次,第48條,針對違反安全維護義務,修正了裁罰的上限與方式,改為應處2萬元到200萬元的罰鍰,情節重大者更是可處15萬元到1,500萬元,並且是逕行處罰時同時命令改正。相較之下,過去這方面的最高罰鍰,只有20萬元,而且僅要求限期改正,且不一定會罰。

葉奇鑫提醒,未來的個資規範與要求還會再升級。這是因為,個資保護委員會組織法的通過,預計是在2024年底或2025年第一季,也就是說,之後就會設立成為正式機關。屆時,個資法裁罰將會邁入下一篇章。不像過往一直沒有專業且獨立的主責機關,而且個資法也勢必將迎來第3次大修法。

過去沒做好個資保護的準備,如今企業不能再無視

從最近的企業因個資外洩遭罰案例,我們可以發現存在裁罰機關不同的情形,像是雄獅是受交通部裁罰,諾貝兒是受高雄市政府裁罰,因此,不全然是中央目的事業主管機關。

對此,葉奇鑫認為,就目前現況來看,的確會有管轄重疊的狀況,這可能需要政府縱向與橫向的溝通協調。畢竟,不論地方政府或中央目的事業主管機關,兩者同樣有這方面的權限,而一家公司如果跨不同產業,也可能受不同主管機關所管轄。這的確是未來政府監管上,需要注意的問題。

但對於企業而言,重點是不要以為只是外洩用戶的個資、事不關己,因為,現在已有上市櫃公司遭個資法裁罰200萬元的情形。

葉奇鑫認為,光是注意其他公司受個資法開罰這件事,就是好的開始。因為很多企業不知道2023個資法已經修法。

「只有知道規範現況,才能更主動因應。」葉奇鑫強調,普遍企業因為還沒出事,所以可能沒有感覺,但是,現在只要一發生這類狀況,企業若是仍沒有準備,就會遭受很大的衝擊。

這是因為,現在針對個資外洩事件,政府的行政檢查都是整套在進行,還會有附帶檢查,也就是不僅止於這次事件所發現的問題,還會針對公司整體個資保護、資安盤查。以瞭解公司在事件中應負起的責任,進而決定輕罰與重罰。

換言之,如果企業平常沒有做好個資保護,不論是程序書、管理規定、個資盤點,當事件爆發、企業在面對行政檢查時,往往連這些基本文件都繳交不出來,此時面臨重罰的可能性自然更高。

雙管齊下!政府祭出行政裁罰與行政規範,也提供相關實作指引手冊

最後我們要提醒大家的是,企業不只面對上述個資保護行政裁罰,還需留意各產業也有對應的行政規範需遵循。

這是因為,針對不同產業,各部會將制定個人資料檔案安全維護管理辦法,若企業違反規定,政府同樣可以開罰。

這部分最受矚目的焦點是,近年國內電商個資外洩情形越來越嚴重,因此,數位發展部2023年10月依據個資法第27條第3項規定,訂定「數位經濟相關產業個人資料檔案安全維護管理辦法」,要求訂定安全維護計畫,並可派員到場實施個資檢查。若業者違反這項辦法,最重將開罰1500萬元。

而受此項規範約束的產業,不只涵蓋綜合性電商,還有軟體出版業、其他資訊服務業,以及第三方支付服務業等。

值得企業關注的是,這些個資維護管理辦法,其實涵蓋了多種產業。換言之,不是只有電商相關業者要重視。

舉例來說,以個人資料檔案安全維護管理辦法而言,針對的產業還有很多,單以近期來看,還包括:綜合商品零售業製造業及技術服務業等眾多產業。

另一方面,有些企業可能仍不知如何保護個資,對此國內主管機關也打算出手幫忙,正在制定相關實作指引文件,引導企業落實。

例如,為了幫助電商業者落實個資保護,數位部在12月釋出指引手冊:「有關電商業者落實數位經濟相關產業個人資料檔案安全維護管理辦法參考指引」,讓缺乏這方面認知的企業,至少能有一份可依循的資訊,以落實個資保護與管理。而從參考指引來看,也可看出不僅是電商業者,也有針對資訊服務業(資訊服務業落實個人資料保護暨資訊安全參考指引)、網路連線遊戲事業(網路連線遊戲事業落實數位經濟相關產業個人資料檔案安全維護管理辦法參考指引)等的指引。

綜觀上述態勢,不論上市櫃公司、所有不同產業的公司,對於提升個資保護的能力,不論是從管理面、技術面,都不能像過去一樣,毫無任何作為。

 

個資保護法制不再空轉,法制專業人力逐漸到位

企業不是不知道個資保護的重要性,因為個資法從2012年實施以來,應該已經引發大家對這方面議題的重視與討論,但由於多年來幾乎看不到相關事件的裁罰,使得只有少數企業願意主動做好個資保護,不少企業仍在觀望、態度消極。

之所以早期少有個資法裁罰,我們認為,這很可能與相關配套不夠健全有關,不只是缺乏個資主責機關,也缺乏充足的專業人力。

據我們瞭解,現在已有很大的改變。例如,過去在法務部時代,負責個資法法制的人力,其實只有3個科員與1個科長,而且這組人馬其實同時負責8個法,個資法只是其中之一。

而近年國發會接手之後,就國發會的法制協調處而言,在10個負責的人員當中,就有超過半數具備個資法專業能力。

而根據去年12月行政院發布的相關消息指出,光是個資保護委員會籌備處的初期編制,就有36人,整體編制的員額更高達89名。

可以想見的是,日後企業面對個資外洩事件時,政府在法制面推動工作的專業人力能量大增,那時將完全不可同日而語。

換言之,以後企業組織面對個資外洩事件,就可能面臨30多位負責個資法法制人力的局勢,而不是只有4個人在兼辦。

個資保護不力更成企業營運風險!企業除了關注上市櫃公司因資料外洩受裁罰,以及2023年個資法修正,更要注意的是,個資保護委員會籌備處已在2023年12月揭牌,屆時個資規範與要求裁罰還會更升級。/行政院

 

美國政府與企業如何強化個資防護?

在關注臺灣上市櫃公司遭個資法裁罰之餘,我們也持續注意國際這類監管議題的態勢。以美國為例,當地企業向美國緬因州檢察長辦公室通報事件,使得事件調查報告曝光於外界,因此我們可以發現,這些公司除了通知受影響的用戶,還會提供一年免費信用監控與身分竊盜保護服務,顯然與臺灣相比有很大的不同。

對此,葉奇鑫表示,美國在一些法制面上很特殊,像是檢察長可以代表全州州民對企業提出資料外洩相關的民事訴訟,因為當地有這個制度,企業就會面臨很大的訴訟風險,甚至可以看到上百億的求償,因此會對企業經營帶來相當大的壓力。

相對而言,臺灣這方面的訴訟風氣並不興盛,這也使得上市櫃企業經常認為,事件發生對實質財務風險不高,這是臺灣可以改進的部分。

但他也指出,國內在某些方面其實已有進步,像是當發生資安事故時,需要提交事件調查報告,主管機關的報告也要通報至國發會(或未來的個資保護委員會),審完才會結案,因此管控程序已經建立,只是事件調查報告沒有對外揭露;關於通知受個資外洩事件影響用戶,現在也有嚴格規定,需要依照政府機關提供的公版發送通知,當中需寫明被駭客攻擊及說明如何因應。

 相關報導 

Popular articles
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
JILI Partners with Cricket Legend AB de Villiers (ABD) to Launch Exclusive Branded Game Series 100% 11
Sports Game
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
Vietnam's tightening online gaming policy creates new market opportunities
Southeast Asia
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
British gambling levy rates confirmed for each vertical
Regulation
Kazakhstan plans to penalise online casino promotions
Regulation
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
Indiana online casino bill stalls in House committee
Regulation
GAT CDMX 2025 Institutional Academy: Leaders and Experts Analyze the Present and Future of the Gaming Industry in Mexico and Lat
Sports Game
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
Home
Game
Cooperation
Find
My