作者:陳全正(眾勤法律事務所律師/副所長)
原文刊載於數位時代:https://www.bnext.com.tw/article/75408/personal-data-protection-act
詐騙事件頻傳,個資風暴愈演愈烈,立院也在上周三讀通過「打詐五法」之一的《個人資料保護法》(下稱《個資法》修正案);但,這對企業會造成什麼影響,又該如何因應呢?
《個資法》這次修正主要有2點:
《個資法》有中央專責主管機關了:「個人資料保護委員會」
這次新增了《個資法》§1-1,政府將設置「個人資料保護委員會」,作為《個資法》的主管機關,這是一個獨立機關,有獨立預算、人事編制,專門綜理個資事務。
事實上,論者對此呼籲已久:以獨立監督機關來管理個資事務是國際趨勢,歐盟、日本及韓國等70多個國家皆有此類設計,藉以因應瞬息萬變的個資潮流。
此外,我國憲法法庭111年憲判字第13號判決,其基於《憲法》第22條對於人民資訊隱私權的保障,要求應建立統籌性的個資保護獨立監督機制,這也是促成修法的原因。本質上,由於個資監督的對象廣泛、監督職權複雜且涉及公權力行政事項,設置統籌性的機關,會較現行的分散式管理有效益。
《個資法》過往沒有中央統一專責管理機關,而由各產業目的事業主管機關分別管理,但此在執行及監督往往力有未逮,且多礙於執行成本,陷於被動因應。但「個人資料保護委員會」建置後,可預期會有更多主動行政檢查等措施(《個資法》§22),企業需及早與謹慎因應。
重鎚來了:個資行政裁罰的罰則提升及嚴格化
以國人最感冒的企業「個資外洩事件」為例,現行《個資法》的裁處規定(《個資法》§22)有兩點頗遭批評: 一是必須企業限期改善而屆期未改善後,才能開罰。二是即使裁罰,單次罰鍰金額也只有2萬元至20萬元。 以前陣子發生的iRent個資外洩事件來說,即便中央主管機關公路總局最後對和雲行動服務公司用了上限額度裁罰20萬元,加上台北市及新北市各自裁罰9萬元,總計也只有38萬元,對於企業而言,嚇阻效果不大。
但本次修法後:一旦發生個資事件,主管機關除要求企業改善外,將「同時直接裁罰」,且在額度上,情節嚴重者可裁罰15萬元以上1,500萬元的罰鍰(情節重大的認定)。 屆期未改正者,也一樣可按次處罰。
嚴格的裁罰金額,並非我國所獨有。有看《非常律師禹英禑》的朋友,應該對其中一集「電商個資裁罰」劇情印象深刻;確實,韓國個資法的裁罰規定是企業營業額3%或固定額裁罰:在無銷售額或核算銷售額有困難時,額度也有最高4億韓圜(約863萬元)。歐盟GDPR(General Data Protection Regulation)又更嚴峻了:規定營業額2%(全球營業額)或是固定額最高1,000萬歐元(約3.3億元)。我國本次修法,無非也希望透過較嚴格的裁罰效果,喚起企業對於個資保護的重視。
《個資法》修正案通過,企業該如何因應及防範?
先聊一個問題:「個資外洩」,企業是否就「絕對」要負責?答案是「否定」的。
個資如同其他的管理議題,永遠都存在著風險,也因如此,上面提到的《個資法》裁罰,前提其實是企業「違反了個資法第27條第1項規定」或「未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法」,並不是只看「企業發生個資事故」。
因應重點一:檢視有無做好「適當安全措施」
而《個資法》第27條第1項的內容,是企業「應採行適當之安全措施」來防止「個人資料被竊取、竄改、毀損、滅失或洩漏」。這就是由於個資事件,客觀上不可能完全避免,一律結果論地予以處罰,對於努力保護個資的企業也不公允;因此, 對於企業而言,防守重點反而是做好「適當安全措施」,只要盡力防護(善良管理人注意義務),就有機會主張並沒有違反該項規定,當然就也不會有後續的裁罰責任產生 。
近年來全身而退最著名的案例,應該是發生個資外洩的雄獅旅行社,在消基會代理消費者提告的案件中勝訴(士林地院107年度消字第6號判決,但後續兩造有另外調解成立)。
但盡力防護並不是隨口說說的,「適當安全措施」是什麼?要求的是企業為了避免發生個資事故,所採取的「技術上」及「組織上」措施;內容也就是企業管理的方方面面,從內部的個資管理組織建立、個資盤點及風險評估、環境及資安防護、稽核、人員教育訓練等具體事項著手(《個資法》施細§12)。請注意,發生事故後的補救無法溯及主張完善管理,因此管理保護執行必須即時,「最好的時機就是現在」。
因應重點二:抓出個資業務流程的bug
另外,要提醒的是「個資事故」不是只有「個資外洩」,還包括了「竊取、竄改、毀損、滅失」等事件,因此,企業常見的個資誤刪及遺失,該行為的嚴重性其實和「個資外洩」是等價的。筆者也建議,除了上述講到的管理措施,企業更應完整檢視內外部個資相關業務流程的風險及弱點,予以合規性的調整,而不能像過往只是以截堵式、疊牆式的增加資安措施,防止外洩即可。
因應重點三:留意各產業行政規範
接著,本次修法也有一點是大眾常會忽略的,請注意上述行政裁罰的事由,並不是只有《個資法》第27條第1項;企業如果沒有遵守主管機關訂定「個人資料檔案安全維護計畫」或「業務終止後個人資料處理方法」者(《個資法》§27II、III),一樣有直接處罰。
因此,呼籲各產業的企業主,務必留意所處產業有無此類行政規範。以電商產業為例,經濟部(現轉由數位部)先前於110.12就已公布「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」,經濟部也在今年5月23日也針對超市、百貨業者,公告「綜合商品零售業個人資料檔案安全維護管理辦法」草案,這類規範對於個資管理都有更細緻的要求,像是「年度」定期個資盤點及教育訓練、個資重大事故72小時通報期限等事項,都必須予以遵守,且可預期的是,受規範的產業會愈來愈多。實務上,相關產業同業公會通常會有準備對應的制度書或管理政策可參考,建議企業及早導入,建立管理框架後,逐步落實執行。
事實上,近年來的個資風波,政府也有對應動作,筆者觀察以近期而言,主管機關就已主動對被列為個資外洩高風險平台業者進行查處,像是民眾常使用的蝦皮購物等,並將依查處結果做成行政處分。
個資外洩將重創商譽,企業不可輕忽
最後,以筆者協助企業建置個資管理制度10多年的案件經驗,企業在觀念上已多能理解個資保護的重要性,但在執行上卻仍不少業者有成本迷思,能省就省,抱持僥倖心態的狀況。但如本文所述,「適當」安全措施,並不是要求所有企業都要有上市櫃公司等級的管理,反而是以企業規模、同業水準來認定,但不論如何,只要開始執行及管理,絕對優於持續觀望。
畢竟,以這次新修正《個資法》內容及目前社會氛圍對於個資外洩及詐騙的反感,政府已磨刀霍霍,在獨立機關成立後,加上原本就可運用的行政檢查權,勢必有一定的動作,如在這樣的節骨眼發生個資事件,勢必被公眾放大檢視,畢竟,大家都在關心何時會開出第一張罰單,這對於商譽的影響,實在容不得輕忽。
個資管理保護相當複雜,需綜合成本及效益,以及對於業務的影響,筆者也建議企業及早因應、甚至請教專業人士協助,方能在這個資風暴的世代中安身立命。希望有一天,我們能不要再看到「本公司不會以帳務異常、分期付款設定錯誤、要求ATM轉帳或退款等名義與您聯繫,若您接獲類似上述通知,請無須理會,並撥打165反詐騙專線詢問或於客服專業聯絡我們,我們將盡速與您聯繫」的通知了。