千防萬防,家賊難防。前年曾發生一起張姓男子傳真詐騙事件,多家飯店收到詐騙傳真:「只要收集一組個人資料可賺1000元,一組個人資料必須有的資訊為:姓名、身分證字號、出生年月日、地址加上信用卡卡號、有效期限和末3碼」,竊取客人的個資後,供張嫌盜刷購買3C產品,再低價轉賣圖利,累計獲利約100多萬元,共有20多名持卡人受害。」
宜蘭某飯店的23歲員工被捕後坦承,他替客人刷卡時,利用數位相機拍下信用卡卡號,再記下信用卡背面的末3碼,連同客人的姓名、身分證字號、出生年月日E-mail給張姓嫌犯。
以上述案例來看,若是企業中也發生同樣事件,依照個資法第二十九條第一項規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限」。沒有妥善的處理這些紙本文件及電子檔案中的個人資料,經營者或是負責人員都可能必須負起民事、刑事和行政責任,依個資法規定,違規「蒐集」或「利用」個資,最重可處五年有期徒刑」。而罰鍰也不再是輕如鴻毛,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣500元以上20,000元以下計算。因此不論你企業內主管還是員工,都不能忽視「個資法」所帶來的影響。
優碩資訊科技文件保護專家解忠翰表示:「個資法要求民營企業及公務機關必須訂定個資安全維護計畫,採取適當的個資保護措施,善盡個資保管責任。如果內部及委外個資檔案沒有受到適當的保護,造成個資外洩事件發生,洩密單位及個資相關負責人可能都會被告,並遭受到高額罰款或法律刑責。應該怎麼做,才能在碰到個資法的時候保護自己?一般企業其實都希望找到一套省錢快速又有效的方法來防治個資法,除了完善PDCA 機制,即規劃 (Plan)、執行 (Do)、查核 (Check)、行動及改進 (Action)之外,做好個資盤點、稽核紀錄管理、利用DLP/DRM技術將文件加密保護。再來就是實施教育訓練,讓員工能夠明白的了解個資法對自身和公司的衝擊在哪。市面上已經有相當多的資安廠商推出各種不同的個資文件保護方案,各機關可以鎖定對自己性價比、C/P 值高的來採用。」
