Transcript 資訊安全認知教育訓練
資訊安全認知教育訓練 資訊組 目錄 校園個資保護趨勢 個資法重點講解 建立個資管理機制 個資法開鍘 Facebook貼照恐觸法 想像一下,你今天和朋友合拍了一張照片, 很高興的上傳到「臉書」(Facebook)或 部落格,並且標上每一個朋友的名字,隔 天你的朋友就到法院告你,說你沒有經他 「書面同意」,侵犯了他的人格權,有可 能被處兩年以下有期徒刑,那是一個什麼 樣的情境? 這不是天方夜譚,依照立法院二讀通過的 《個人資料保護法》草案,一年之後,這 樣的故事就可能發生在你我身邊。 學術、政府單位個資外洩 最重罰二億 教育部架設各種網 站,提供多種資源, 希望維護個資安全, 圖為教育部校園資 訊安全悠遊網,提 供多種教材供學習, 以最貼近學生的動 畫方式,讓大家理 解個人資料保護的 重要。 隱私保護為全球各國立法保障人權之共識 個資外洩嚴重 資料外洩以及個人隱私被侵犯情形嚴重。 刑事警察局犯罪預防科根據統計資料指出, 165反詐騙諮詢專線,接獲詐騙投訴電話,排 名第一的是個資外洩詐騙事件,占總數的35%。 網路安全信心調查: 國人信心不足,最憂個資外洩,最盼嚴懲不法。 校園個資保護 人事基本資料 學生/家庭資料 薪資資料 考績獎懲 威脅: 非法蒐集(忽略公平合法原則) 不當利用 健康情形 處理過程缺乏安全防護 特殊教育 惡意行為(竄改、偷竊、洩露…) …… …… 個人資料及隱私保護的10項挑戰 Challenge 1 What-瞭解個資法(PDA)內容 個資法的立法目的與精神? 何謂個人資料? 個資法有哪些行為規範? 個人資料保護法 共六章 56條 第一章 總則(第1條至第14條) 第二章 公務機關對個人資料之蒐集、處理及利用 (第15條至第18條) 第三章 非公務機關對個人資料之蒐集、處理及利用 (第19條至第27條) 第四章 損害賠償及團體訴訟 (第28條至第40條) 第五章 罰則 (第41條至第50條) 第六章 附則 (第51條至第56條) 個人資料保護法-立法目的與精神 第一條 為規範個人資料之蒐集、 處理及利用,以避免人 格權受侵害,並促進個 人資料之合理利用,特 制定本法。 個資法之立法目的: 在於尋求個人資訊隱私權與資料合理流通間之利益平衡 隱私權(Privacy) 司法院大法官解釋(釋字第603號-94.9.28) 隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人 主體性之維護及人格發展之完整,並為保障個人生活私密 領域免於他人侵擾及個人資料之自主控制,隱私權乃為不 可或缺之基本權利,而受憲法第二十二條所保障(本院釋 字第五八五號解釋參照) 。 其中就個人自主控制個人資料之資訊隱私權而言,乃保障 人民決定是否揭露其個人資料、及在何種範圍內、於何時、 以何種方式、向何人揭露之決定權,並保障人民對其個人 資料之使用有知悉與控制權及資料記載錯誤之更正權。 惟憲法對資訊隱私權之保障並非絶對,國家得於符合憲法 第二十三條規定意旨之範圍內,以法律明確規定對之予以 適當之限制。 個人資料保護法 共六章 56條 第一章 總則(第1條至第14條) 第二章 公務機關對個人資料之蒐集、處理及利用 (第15條至第18條) 第三章 非公務機關對個人資料之蒐集、處理及利用 (第19條至第27條) 第四章 損害賠償及團體訴訟 (第28條至第40條) 第五章 罰則 (第41條至第50條) 第六章 附則 (第51條至第56條) 個資生命週期 Life Cycle 蒐集:指以任何方式取得個人 資料。 處理:指為建立或利用個人資 料檔案所為資料之記錄、輸 入、儲存、編輯、更正、複 製、檢索、刪除、輸出、連 結或內部傳送。 利用:指將蒐集之個人資料為 處理以外之使用。 第二條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一 編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、 病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方 式、財務情況、社會活動及其他得以直接或間接方式識別該 個人之資料。 二、個人資料檔案:指依系統建立而得以自動化機器或其他非自 動化方式檢索、整理之個人資料之集合。 三、蒐集:指以任何方式取得個人資料。 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸 入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或 內部傳送。 五、利用:指將蒐集之個人資料為處理以外之使用。 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。 七、公務機關:指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關:指前款以外之自然人、法人或其他團體。 九、當事人:指個人資料之本人。 什麼是個人資料? 個資法條文: 個人資料:指自然人之姓名、出生年月日、 國民身分證統一編號、護照號碼、特徵、指 紋、婚姻、家庭、教育、職業、病歷、醫療、 基因、性生活、健康檢查、犯罪前科、聯絡 方式、財務情況、社會活動及其他得以直接 或間接方式識別該個人之資料。 特種個資之【蒐集/處理/利用】之例外情況 第六條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不 得蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務所必要, 且有適當安全維護措施。 、 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的, 為統計或學術研究而有必要,且經一定程序所為蒐集、處理或 利用之個人資料。 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵 行事項之辦法,由中央目的事業主管機關會同法務部定之。 個人資料保護法 2010/4/27三讀通過:(2010/5/26) 目前等待行政院公告實施時間。實施前,組織有一 段緩衝期可因應新法調整內部控管以降低違法風險。 範圍與主體普遍化: 新版個資法最大差異,在於將法律規範的對象從原 來醫療、電信、大眾傳播、金融等8大行業擴大至所 有公民營機關,將過去不適用電腦處理個人資料保 護法的行業,例如網路零售業。不限行業、自然人、 法人或其他團體(含境外) ,全都納入規範。 個資保護之尊重原則 第五條 個人資料之蒐集、處理或利用,應 尊重當事人之權益,依誠實及信用方法為之, 不得逾越特定目的之必要範圍,並應與蒐集 之目的具有正當合理之關聯。 強化行為規範:告知/書面同意 第七條 第十五條第二款及第十九條第五款所稱書面同意, 指當事人經蒐集者告知本法所定應告知事項後,所為允許 之書面意思表示。第十六條第七款、第二十條第一項第五 款所稱書面同意,指當事人經蒐集者明確告知特定目的外 第三條 當事就其個人資料依本法規定行使之下列 之其他利用目的、範圍及同意與否對其權益之影響後,單 權利,不得預先抛棄或以特約限制之: 一、查詢或請求閱覽。 獨所為之書面意思表示。 二、請求製給複製本。 第八條 公務機關或非公務機關依第十五條或第十九條規定 三、請求補充或更正。 向當事人蒐集個人資料時,應明確告知當事人下列事項: 四、請求停止蒐集、處理或利用。 一、公務機關或非公務機關名稱 五、請求刪除。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對 其權益之影響。 個資保護行為規範 告知 蒐 特定目的 集 書面同意 處理 安全維護措施 利用 不逾越特定目的 損害賠償 罰責 個人資料保護法-第四章 損害賠償及團體訴訟 第二十八條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵 害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可 抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償之金額;其名譽被侵害者,並 得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院 依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損 害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所 涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不 受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。第二 項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或 已起訴者,不在此限。 個人每筆資料求償金額為500元至2萬元不等,團 體求償金額上限則從舊法2千萬上推至最高2億元 個人資料保護法-第四章 損害賠償及團體訴訟 第二十九條 非公務機關違反本法規定,致個人資 料遭不法蒐集、處理、利用或其他侵害當事人權 利者,負損害賠償責任。但能證明其無故意或過 失者,不在此限。 第三十條 損害賠償請求權,自請求權人知有損害 及賠償義務人時起,因二年間不行使而消滅;自 損害發生時起,逾五年者,亦同。 第三十一條 損害賠償,除依本法規定外,公務機 關適用國家賠償法之規定,非公務機關適用民法 之規定。 舉證責任: 發生個資外洩時,組織必需舉證說明並非自己故意或過失,因此需做好 內部資料控管、採取嚴格保護管理,才能達到預防與舉證效果。 個人資料保護法-第四章 損害賠償及團體訴訟 第三十二條 依本章規定提起訴訟之財團法人或公 益社團法人,應符合下列要件: 一、財團法人之登記財產總額達新臺幣一千萬元或社團 法人之社員人數達一百人。 二、保護個人資料事項於其章程所定目的範圍內。 三、許可設立三年以上。 第三十四條 對於同一原因事實造成多數當事人權 利受侵害之事件,財團法人或公益社團法人經受 有損害之當事人二十人以上以書面授與訴訟實施 權者,得以自己之名義,提起損害賠償訴訟。 個人資料保護法-第五章 罰則 第四十一條 違反: 中央目的事業主管機關: 行政檢查權、罰鍰與處分 第六條第一項(特種資料)、 第十五條、第十六條(公務機關對個人資料之蒐集、 處理及利用)、 第十九條、第二十條第一項規定(非公務機關對個人 資料之蒐集、處理及利用),或 中央目的事業主管機關依第二十一條限制國際傳輸之 命令或處分,足生損害於他人者,處二年以下有期徒 刑、拘役或併科新臺幣二十萬元以下罰金。 意圖營利犯前項之罪者,處五年以下有期徒刑,得併 科新臺幣一百萬元以下罰金。 個人資料保護法-第五章 罰則 第四十二條 ~ 第四十六條 意圖為自己或第三人不法之利益或損害他人之利益,而對於個 人資料檔案為非法變更、刪除或以其他非法方法,致妨害個 人資料檔案之正確而足生損害於他人者,處五年以下有期徒 刑、拘役或科或併科新臺幣一百萬元以下罰金。 領域外對中華民國人民犯前二條之罪者,亦適用之。 公務員假借職務上之權力、機會或方法,犯本章之罪者,加重 其刑至二分之一。 本章之罪,須告訴乃論。(但犯第四十一條第二項之罪者,或 對公務機關犯第四十二條之罪者,不在此限。) 犯本章之罪,其他法律有較重處罰規定者,從其規定。 個人資料保護法-第六章 附則 第五十一條 有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的,而蒐集、處 理或利用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未 與其他個人資料結合之影音資料。 公務機關及非公務機關,在中華民國領域外對中華民國人 民個人資料蒐集、處理或利用者,亦適用本法。 第五十三條 本法所定特定目的及個人資料類別,由法 務部會同中央目的事業主管機關指定之。 Point 2 個資保護推動組織及責任分工(Organization & Responsibility) 高階管理階層參與 界定個資管理範圍 個資管理政策(Personal Information Management Policy) Privacy Policy/Information Security Policies 角色與職責(Roles & Responsibility) 推動時程規劃與管理(Project Management) 資源規劃與管理(Resource manegement) 進度審查與改善(Review & Improvement) Point 3 建立個資生命週期(蒐集、處理、利用)之管理程序 明確將個資管理方式規範於組織之內部管理 程序中 符合OECD & APEC隱私保護綱領及原則之架構 符合行業規範(如:PCI,HIPPA…) 符合國家規範(如:ISO 27001,未來主管機關 標章規範…) 符合國際規範(如:BS 10012, JISQ 15001…) 資料保護原則(Data protection principles) 「資料控制者」(Data Controller)必須遵守八大資料保護原則,其要求 個人資料必須: 第一原則 受到公平合法的處理:fairly and lawfully processed 第二原則 僅為具體指明的目的取得,且不會受到不符合此等目的的方式處 理;obtained only for specified purposes and not further processed in a manner incompatible with those purposes; 第三原則 適當、相關且不過度;adequate,relevant and not excessive; 第四原則 正確且最新;accurate and up-to-date 第五原則 保留時間不超過必要程度;not kept for longer than is necessary 第六原則 處理方式符合法律賦予個人的權利,包括標的存取權(right of subject access );processed in line with the rights afforded to individuals under the legislation,including the right of subject access 第七原則 獲得安全保障;kept secure 第八原則 不在未受到適當保護的情況下被移轉到境外的國家。Not transferred without adequate protection Point 4 人員安全管理與認知訓練(HR Security & Awareness Training) 人員安全管理(職責/篩選/訓練/監督/離 退…) 法令與遵循性(Legal & Compliance)Discipline 組織內部作業程序(Internal Operation Procedures) 個資保護技能(Competence) 鑑別個資蒐集、處理與利用之法源依據 ( Understanding of requirements ) 技能& 資格( Skills & qualification ) Point 5 個資安全管理-全面清查個資檔案及其歷經流程 (Process &Inventory of the categories of personal information) 個資流程清查 控管程序審查 敏感&個人信息( Sensitive & personal information ) 信息處理指導 ( Information handling guidance ) 數據保護-加密,傳輸,儲存,處置( Data protection - Encryption,Transmission, Storage, Disposal ) ..... 清查個資檔案及流程 誰蒐集的(c-collection) 誰處理的(p-process) 誰使用的(u-use) Point 6 個資風險管理-確認處理過程符合風險及安全需求 (Risk Management – Kept Secure) 風險管理( Risk Management )– PIA(隱 私衝擊分析) 風險治療 ( Risk Treatment ) 存取控制(Access control)– Procedures & methods 證明& 認證 (Identification & Authentication)– ID, password,IC card, OTP 網路, OS & 應用,行動計算處理技術 (Network, OS & Application, Mobile computing) Point 7 舉證管理(Evidence Management) 系統記錄,事件日誌(System log,Event log… ) 日誌保護& 回顧( Log protection & review ) 末端指向監視( End points monitoring ) E-mail /P2P/FTP/MSN/USB devices/DVD/Smart Phone…. 任何侵害 ( Any Violations ) 舉證責任: 第二十九條 非公務機關違反本法規定,致個人資料遭不 法蒐集、處理、利用或其他侵害當事人權利者,負損害賠 償責任。但能證明其無故意或過失者,不在此限。 Point 8 事故通報與處理(Incident Reporting & Handling) 通報( Reporting line ) 反應管道( Media response ) 事件處理的過程( Incident handling process ) 學會教訓(Lesson learn) 第十二條 公務機關或非公務機關違反本法規定,致個人 資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當 方式通知當事人。