摄影／郭又华

欧洲数据保护委员会制定的《个资侵害通知范例指引》，以6大主题、共18种个资侵害事件为例，说明不同事件如何评估隐私风险，以及如何依据风险，做出最佳应对方式，以及典型错误应对方式。

企业须证明资安治理措施有效保护个资，发生事故才能免责

看回台湾，资安治理是对台湾企业来说更是不可忽视的议题。林逸尘引用一分资安业者2024年1月研究，台湾6个月内，平均每周遭受2,930次网络攻击，是全球平均的2.7倍。不仅遭受攻击的风险高，一旦发生数据侵害事件，造成他人权益损害，企业还得负担行政责任及民事责任，面临巨额罚款及赔偿。

他以今年刚二审判决的一起饭店顾客个资外泄诉讼案为例，说明企业能如何因为资安治理不当而被究责。

事情经过是，有位民众在饭店消费，后接到谎称饭店客服的骗徒诈走近10万元。原本消费者只寄送存证信函要求饭店删除并不再使用自己个资，却接连收到来自饭店短信，申诉后才知道，饭店的IT委外厂商曾通知饭店有5,423笔个资外泄，但饭店和IT业者都没有通知顾客，这位受害民众愤而提告。

因为一审只判饭店业者删除并停止利用所有消费者个资。不过，受害民众不服提起上诉后，虽然委任IT业者提供了多项资安作法的证据，例如对非允许IP进行阻挡之截屏、针对厂商帐号密码及个人数据 AES256加密机制截屏、多重服务器分散数据、主机帐密权限控管与RSA私钥管理、限定防火墙规则截屏等多项文档，法院认定IT业者无法证明自己在个资外泄事件前，有妥善管理及维护相关系统，因而，改判决饭店业者及委任IT业者各赔2万元给消费者。「虽然这次只有各罚2万元，但如果考量行政罚锾最高1,500万元风险，以及5千多名遭外泄民众的求偿风险，企业潜在财务损失非常庞大。」林逸尘指出。

林逸尘进一步解释，饭店及IT业者败诉关键是，消费者没有自行使用、管理个资的能力，举证责任在数据控制方──企业必须证明事前有采取适当安全措施，没有故意或过失，才能免除责任。二审中企业方提供的数据，都只能证明事件发生后的措施，无法证明事前做法保护消费者个资。这个案例说明，企业应妥善分析隐私风险、在个资侵害发生前采取适当安全措施，并有能力证明采用措施的有效性。

现行法规定义下，什么样的措施算「适当安全措施」？林逸尘也进一步解读《个人数据保护法施行细则》第12条定义的适当安全维护措施项目。

第一项是，配置个资管理人员，甚至成立跨单位个资保护运行小组。第二、第三项是盘点组织内各种纸本及数位个资，以数据CIA等特性来评估隐私风险，并依据风险程度订定安全管控进程。第四项则是强调制定事件通报管道，视情形需要联系主管机关及个资主体。第五项，是确保个资搜集、处理及利用方式符合法规。

第六项则要在完成个资隐私风险盘点后，依照风险高低控管不同人员的存取权限。第七项得依照内部人员不同职务来规画专属个资保护的教育训练。第八项是妥善管理有存放个资的设备。第九、第十项要求得创建资安稽核机制，追踪并保存数据安全相关措施的纪录和个资使用过程所产生的纪录，能证明有善尽个资保护责任，以备举证或接受稽核之需。第十一项则是要求企业，得持续改善个资维护做法，包括事故后检讨、时常视图个资保护制度、审视制度落实程度，并保留运行过这些事的文档作为证据。