Try   HackMD

個人資料保護法與資安實務 (內容金融機構專屬)

Author:陳詰昌
Email: power.shell@gmail.com

一、個資法簡介

個人資料保護法時間序

  • 84年電腦處理個人資料保護法施行(OECD)
    • 電腦處理
      • 指使用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理
    • 適用非公務機關
      • 徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。
  • 99年個人資料保護法修正(APEC、102年施行)
    • 第6條及第54條暫緩施行
      • 特種個資蒐集、處理及利用
        • 法律規定
        • 履行法定義務
        • 當事人公開或已合法公開資料
        • 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要
  • 104年個人資料保護法修正(105年施行)
    • 第六條修正
      • 增列
        • 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內
        • 經當事人書面同意
  • 112年個人資料保護法48條修正
    • 48條修正
      • 違反第27條提高至1500萬以下

個資法重點

  1. 擴大保護客體
    • 不限於電腦處理個資
  2. 普遍適用主體
    • 由八大行業擴大適用至自然人、法人或其他團體
      • 徵信、醫院、學校、電信、金融、證券、保險、大眾傳播業
    • 個資定義範圍擴大
  3. 增修行為規範
    • 特種個資
    • 書面同意
    • 告知行為
    • 拒絕行銷
  4. 強化行政監督
    • 強化主管機關監督效能
  5. 促進民眾參與
    • 團體訴訟提出損害賠償
      • 雄獅旅行社資料外洩案
  6. 提高罰則規定
    • 近期因個資外洩嚴重,行政裁罰上限為20萬,嚇阻性不足,再次修法提高罰則至1500萬

隱私與隱私權

  • 隱私
    • to be alone不受打擾
    • 不想讓人知道
      • 爸媽拆小孩信件
  • 隱私權
    • 依法享有拒絕、排斥任何未經法律批准的監視、窺探和防止個人私生活秘密、個人信息(個人數據)被揭露的權利

隱私類型

  • 身體隱私
    • 刑法妨害秘密
  • 通訊隱私
    • 通訊保障及監察法
  • 空間隱私
    • 刑法妨礙秘密、科技偵查法(草案)
  • 資訊隱私
    • 個人資料保護法

資料隱私與資料安全

  • 資料隱私
    • 個資保護
    • 資料蒐集處理利用過程的合法性
  • 資料安全
    • 安控措施來保護資料
    • 資料生命週期中未經授權者無法存取

立法目的

  • 避免人格權受侵害
    • 憲法第22條
      • 凡人民之其他自由及權利,不妨害社會秩序公共利益者,均受憲法之保障
    • 釋字603號(指紋建檔)
      • 基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第二十二條所保障,其中包含個人自主控制其個人資料之資訊隱私權,保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。
  • 促進個資合理利用
    • 資料治理(EU)
    • 戶役政機關資料提供給警政機關作為犯罪偵查使用

個資法基本原則(第5條帝王條款)

  • 尊重當事人權益
  • 誠實信用方法
  • 不得逾越特定目的範圍
  • 與蒐集目的有正當合理關聯
    • 比例原則: 使用目的、手段與當事人所受損害與蒐集目的具有正當合理關聯
    • 學校蒐集學生通訊資料目的為方便同學間聯絡,資料若提供給補習班,逾越使用目的

二、個資法保護客體

個人定義

  • 保護標的: 人格權
    • 自然人專屬
    • 非自然人
      • 死人(生物): 歷史人物
      • 法人(法律): 公司、團體

個人資料

  • 一般個資
  • 特種個資(第6條)
    • 病歷(所有)、醫療(單次)、基因、性生活、健康檢查、犯罪前科
  • 其他得以直接或間接方式識別該個人之資料(能否識別)

直接識別與間接識別

  • 直接識別: 直接可以識別出當事人
  • 間接識別: 須與其他資料對照、組合、連結始能識別該特定人
    • 某某部門主管
    • 靠北銀行
    • 徵才條件(行政機關內部)

特種個資蒐集處理利用(6條)

  • 原則上不可
  • 例外狀況
    • 法律明文規定
      • 保險法第177-1條(病歷、醫療、健康檢查之個人資料)
      • 修法前依法蒐集得繼續處理、利用
    • 公務機關或非公務機關執行法定職務或義務
    • 當事人自行公開或其他已合法公開
    • 公務機關或學術研究機構
      • 基於醫療、衛生或犯罪預防之目的
      • 為統計或學術研究而有必要
      • 資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人(去識別化)
    • 為協助公務機關或非公務機關執行法定職務或義務必要範圍內
    • 經當事人書面同意

排除適用(個資法第51條)

  • 個人或家庭活動之目的
    • 臉書Po家庭出遊照
  • 公開場所或公開活動中所蒐集、處理或利用
    • 未與其他個人資料結合之影音

個人資料檔案(第2條)

  • 依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合
    • 系統:有規則有方法
    • 擴大包含紙本資料

三、個資法適用主體

  • 公務機關
    • 中央或地方機關
    • 行政法人
  • 非公務機關
    • 自然人
    • 法人
    • 團體
  • 受委託機關(個資法第4條)
    • 視同委託機關

非公務機關蒐集、處理個資要件(第19條)

  • 有特定目的且符合下列狀況
    1. 法律明文規定
    2. 與當事人有契約或類似契約關係
      • 銀行與存戶
      • 保險公司與保戶
    3. 當事人自行公開或已合法公開之個人資料
      • 法院判決
    4. 學術研究機關基於公共利益或為統計或學術研究而有必要,且資料經處理後或依其揭露方式無從識別特定之當事人
      • 健保資料提供給學術單位研究
    5. 經當事人同意(第7條第1項)
      • 經告知應告知事項後,所為允許意思表示
    6. 為增進公共利益所必要
      • 新聞自由
      • 誠信與比例原則
    7. 個人資料取自於一般可得之來源
      • 網路搜尋取得(細28)
      • 但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限
    8. 對當事人權益無侵害

非公務機關利用個資要件(第20條)

  • 特定目的必要範圍
    • 蒐集目的與利用相符
  • 特定目的外之利用
    1. 法律明文(法律或法律授權法規命令)規定
      • 金融控股公司法第43條(共同行銷)
        • 金融控股公司子公司間共同行銷管理辦法
      • 金融機構防制洗錢及打擊資恐內部控制與稽核制度實施辦法(AML)第6條
    2. 增進公共利益所必要
    3. 免除當事人生命、身體、自由或財產上之危險
    4. 防止他人權益之重大危害
    5. 學術研究機關基於公共利益或為統計或學術研究而有必要,且資料經處理後或依其揭露方式無從識別特定之當事人
    6. 經當事人同意
      • 第7條2項:明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響,單獨所為意思表示
        • ex:供金控其他子公司共同行銷使用
    7. 有利於當事人權益

金融機構間資料共享指引

  • 規範重點(第6、7點)
    • 取得客戶同意
    • 保障客戶權益
    • 確保個資保護
    • 確保資料傳輸安全
    • 訂定內部管理政策
  • 開放共享資料
    • 客戶基本資料
    • 身分核驗資料
    • 帳戶資料
    • 金融商品或服務交易紀錄
    • 負面資料
    • 金融機構加值資料
    • KYC資料
    • 電子通訊歷程記錄
    • 其他經客戶及合作金融機構同意共享資料

個資歷用於行銷注意事項(第20條第2、3項)

  • 當事人表示拒絕接受行銷時,應即停止利用其個資行銷
  • 於首次行銷時,應提供當事人表示拒絕接受行銷之方式(電子郵件、免付費電話、免費回郵),並支付所需費用。

國際傳輸個資(第21條)

  • 原則上允許
  • 有下列狀況者,中央主管機關得限制之
    • 涉及國家重大利益
    • 國際條約或協定有特別規定
    • 接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞
    • 以迂迴方法向第三國傳輸個資規避本法
      • 最終傳輸至中國,但透過新加坡或香港

金融機構個資傳輸至境外

  • 金融機構作業委託他人處理內部作業制度及程序辦法
  • 保險業作業委託他人處理應注意事項(委外上雲)

受委託機關適用與監督

  • 受委託機關視同委託機關
    • 個資法第4條:受委託機關適用本法視同委託機關
    • 施行細則第7條:受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。
  • 委託機關應對受託者為適當之監督(細則8),監督事項至少包含如下:
    • 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間
    • 受託者應採取必要措施(適當安全維護措施)
    • 有複委託者,其約定之受託者
    • 違反本法時,應向委託機關通知之事項及採行之補救措施
    • 委託機關對受託者保留指示之事項
    • 委託關係終止或解除時,個人資料載體之返還,持有之個人資料之刪除

四、個資法行為規範

  1. 告知事項
  2. 當事人同意
  3. 當事人基本權利
  4. 適當安全維護措施(詳參五)

個資生命週期

  • 蒐集:以任何方式取得個人資料
    • 直接
    • 間接
  • 處理
    • 為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送
  • 利用
    • 將蒐集之個人資料為處理以外之使用
  • 刪除停止利用

1.直接蒐集告知事項(個資法第8條)

  • 蒐集個人資料必須告知當事人事項
    • 機關名稱
    • 蒐集目的
    • 個資類別
    • 個資利用之期間、地區、對象及方式
    • 當事人依第3條規定得行使之權利及方式
      • 查詢、請求閱覽
      • 請求製給複本
      • 請求補充、更正
      • 請求停止蒐集或處理、利用
      • 請求刪除
    • 不提供將對其權益之影響

直接蒐集例外免告知事項(個資法第8條)

  • 依法律規定得免告知
    • 保險法第177-1條第三項(核保獲理賠作業需要)
  • 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要
  • 告知將妨害公務機關執行法定職務
  • 告知將妨害公共利益
  • 當事人明知應告知之內容
  • 個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響

間接蒐集之告知義務(第9條)

  • 告知時機
    • 處理或利用前(第9條第1項)
    • 首次對當事人為利用時(第9條第3項)
  • 告知內容
    • 直接蒐集時告知內容
    • 間接蒐集之資料來源
  • 例外免告知
    • 直接蒐集時例外免告知狀況(第8條第2項)
    • 當事人自行公開或其他已合法公開之個人資料
    • 不能向當事人或其法定代理人為告知
    • 基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限
    • 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料

告知方式(細則第16條)

  • 得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之

個人資料檔案維護辦法

  • 第六條
    • 為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故(以下簡稱事故),應訂定下列應變、通報及預防機制
    • 遇有重大個人資料事故應於72小時內通報
    • 重大個人資料事故係指個人資料遭竊取、竄改、毀損、滅失或洩漏,將危及非公務機關正常營運或大量當事人權益之情形

雄獅旅行社個資外洩案

  • 事發通知(個資法12)
    • 致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人
  • 通知方式
    • 不以書面為限,不論是口頭、電話、電子郵件、傳真、簡訊,只要是以當事人能夠知悉的方式皆可
    • 可斟酌技術上可行性與當事人的隱私保護,以網際網路、新聞媒體或其他適當的告知方式

2.當事人同意(第7條)

  • 允許之意思表示(第19條蒐集與處理)
  • 單獨所為之意思表示(第20條目的外使用)
    • 行銷
    • 需要書面同意
      • 特種個資(第6條)
      • 個資正確性有爭議(第11條)

爭議性同意

  • 同意非出於自由意志下的真意表達
    • 權力、社會、經濟不對等狀態
    • 雇傭關係、醫病關係
  • 同意無從自由選擇、或客觀上無法拒絕
    • 綑綁式同意,預設同意、繼續使用視為同意
  • 無法僅給予部分同意,或無法於不損及權益下撤回同意
    • 多個選項綑綁,無法選擇或區分同意

3.當事人基本權利(個資法第3條)

  • 查詢或請求閱覽(個資法第10條)
  • 請求製給複製本(個資法第10條)
  • 請求補充或更正(個資法第11條)
  • 請求停止蒐集、處理或利用(個資法第11條)
  • 請求刪除(個資法第11條)

查詢、請求閱覽或製給複製本(個資法第10條)

  • 以下狀況可拒絕當事人請求
    • 妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益
    • 妨害公務機關執行法定職務
    • 妨害該蒐集機關或第三人之重大利益

刪除、停止處理或利用(個資法第11條)

  • 個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用,但下列狀況不在此限:
    • 因執行職務或業務所必須
    • 經當事人書面同意,並經註明其爭議者
  • 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但下列狀況不在此限:
    • 因執行職務或業務所必須
    • 經當事人書面同意者
  • 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料

五、資安維護措施(金管會指定非公務機關個人資料檔案維護辦法)

非公務機關安全維護(第27條)

  • 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏
    • 事前事後有適當安全維護措施
      • 特種個資蒐集、處理及利用
    • 安全維護事項
      • 專人辦理安全維護事項
    • 適當安全措施(個資法第19條及第27條)
  • 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫業務終止後個人資料處理方法
    • 辦法
    • 金管會指定非公務機關個人資料檔案安全維護辦法

安全措施、安全維護事項及安全維護措施(細則第12條)

  • 公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上(技術面)及組織上(管理面)之措施
  • 安全控制措施
    • 物理
    • 管理
    • 技術

安全措施(細則第12條第2項)

  1. 配置管理之人員及相當資源(辦法第3條)
  2. 界定個人資料之範圍(辦法第4條)
    • 個資盤點
      • 系統名稱、存放位置
    • 行為盤點
      • 蒐集、處理、利用及刪除停止利用
    • 舉證盤點
      • 告知事項及當事人同意(第7條第4項)
    • 特定目的
      • 蒐集目的並符合狀況
    • 利用範圍
  3. 個人資料之風險評估及管理機制(辦法第5條)
    • 非公務機關應依前條界定之個人資料範圍及其業務涉及個人資料蒐集、處理、利用之流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適當之管理機制。
    • 風險識別、風險分析、風險評估
  4. 事故之預防、通報及應變機制(辦法第6條)
  5. 個人資料蒐集、處理及利用之內部管理程序(辦法第8條)
    • 個資生命週期
  6. 資料安全管理及人員管理(辦法第9、10、12條)
    • 保護個資機制(加密、隔離、保護)
      • 儲存狀態
      • 傳輸狀態
      • 使用狀態
  7. 認知宣導及教育訓練(辦法第7條)
  8. 設備安全管理(辦法第11條)
  9. 資料安全稽核機制(辦法第13條)
  10. 使用紀錄、軌跡資料及證據保存(辦法第14條)
    • 非公務機關執行本計畫及處理方法所定各種個人資料保護機制、程序及措施,應記錄其個人資料使用情況,留存軌跡資料或相關證據
      • 登入紀錄
      • 軌跡紀錄
      • 存取紀錄
  11. 個人資料安全維護之整體持續改善(辦法第15條)

PIMS與安全措施關聯

PIMS

通報、應變及預防機制(個人資料檔案安全維護辦法第6條)

  • 非公務機關為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故,應訂定下列應變、通報及預防機制:
    1. 事故發生後應採取之各類措施,包括:
      • 控制當事人損害之方式
      • 查明事故後通知當事人之適當方式
      • 應通知當事人事故事實、所為因應措施及諮詢服務專線等內容
    2. 事故發生後應受通報之對象及其通報方式
    3. 事故發生後,其矯正預防措施之研議機制
  • 非公務機關遇有重大個人資料事故者,應依附件格式於72小時內通報本會
  • 前項所稱重大個人資料事故,係指個人資料遭竊取、竄改、毀損、滅失或洩漏,將危及非公務機關正常營運或大量當事人權益之情形

免責(第29條)

  • 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。

資料安全(個人資料檔案安全維護辦法(第9條)

  • 非公務機關為維護所保有個人資料之安全,應採取下列資料安全管理措施:
    • 訂定各類設備或儲存媒體之使用規範,及報廢或轉作他用時,應採取防範資料洩漏之適當措施
    • 針對所保有之個人資料內容,有加密之需要者,於蒐集、處理或利用時,採取適當之加密措施
    • 作業過程有備份個人資料之需要時,對備份資料予以適當保護

金管會指定非公務機關個人資料檔案安全維護辦法(第10條)

  • 非公務機關提供電子商務服務系統,應採取下列資訊安全措施:
    1. 使用者身分確認及保護機制
    2. 個人資料顯示之隱碼機制
    3. 網際網路傳輸之安全加密機制
    4. 應用系統於開發、上線、維護等各階段軟體驗證與確認程序
    5. 個人資料檔案及資料庫之存取控制與保護監控措施
    6. 防止外部網路入侵對策
    7. 非法或異常使用行為之監控與因應機制
  • 前項所稱電子商務,係指透過網際網路進行有關商品或服務之廣告、行銷、供應、訂購或遞送等各項商業交易活動
  • 防止外部網路入侵對策、非法或異常使用行為之監控與因應機制,應定期演練及檢討改善

六、法律責任(處罰及行政措施)

行政檢查(第22條)

  • 認有必要或有違反本法規定之虞,於符合比例原則下
    • 得命相關人員為必要之說明、配合措施或提供相關證明資料
    • 對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之
    • 得率同資訊、電信或法律等專業人員共同為之

罰鍰以外之處分(第25條)

  • 對非公務機管權益損害最小方法為之
    1. 禁止蒐集、處理或利用個人資料。
    2. 命令刪除經處理之個人資料檔案。
    3. 沒入或命銷燬違法蒐集之個人資料。
    4. 公布非公務機關之違法情形,及其姓名或名稱與負責人。

刑事(個人)

  • 意圖為自己或第三人不法之利益或損害他人利益
  • 足生損害於他人者
    • 不法蒐集、處理、利用個資及特種個資
    • 違反限制國際傳輸處分或命令
    • 非法變更、刪除或以其他方法妨害個資正確性

民事(損害賠償,28、29條)

  • 單筆500元以上2萬元以下(單次事件新台幣2億元以下)
  • 請求權時效
    • 2年內:知有損害及賠償義務人時起
    • 5年內:自損害發生時起
  • 例外狀況(責任排除)
    • 證明其無故意或過失
    • 雄獅旅行社

集體訴訟

  • 團體訴訟(消基會)
    • 財團法人或共議社團法人
      • 1000萬以上或社員達100人以上
      • 個資保護在其章程鎖定範圍
      • 設立3年以上
    • 20個以上被害人書面授權
  • 案例
    • 雄獅旅行社個資外洩案

行政罰則

  • 新台幣5萬以上50萬以下罰緩(第47條)
    • 違法蒐集、處理、利用個資
    • 違反國際傳輸處分或命令
  • 新台幣2萬以上20萬以下罰緩(第48條)
    • 外洩通知義務
    • 未採安全措施
  • 處新台幣1500萬以下罰緩(第48條)
    • 未採行適當之安全措施或未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者
    • 未採行適當之安全措施或未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法情節重大者

七、裁罰案例

常見裁罰態樣

  1. 內控稽核或業務過失等因素致個資外洩
  2. 個人資料檔案安全維護措施未臻周延
  3. 蒐集個人資料時未盡明確告知義務
  4. 發生個資外洩事件時之通報作業未臻周延
  5. 未經客戶同意將其個人資料提供給第三人使用

個資盤點未落實

  • 未經客戶同意將個資轉其他子公司作為行銷
  • 未經客戶同意將個資轉委託第三方
  • 未經客戶同意查詢客戶聯徵信用資料

違反內控法令

  • 未依保存期限刪除
  • 下載至私人外接裝置
  • 疏失將個資暴露於網路銀行服務(中信)

2019年富邦人壽案例