當個資外洩發生時,企業是否可以向系統商求償?

企業與系統商簽訂契約,要求系統商提供電子商務網站平台及相關服務時,當網站平台的資訊安全系統設計不符合現行科技水準,導致企業因個資外洩所造成賠償消費者金錢、商譽損害等損失,系統商是否須負損害賠償責任?國內最近即有一間公司(原告)向提供不符合現行科技水準網站系統的廠商(被告)成功求償102萬1976元(臺灣臺北地方法院108年度訴字第1721號民事判決),以下簡單介紹該判決的內容。

1.雙方的契約性質為承攬契約

法院認為依照雙方契約內容,原告基於契約所取得的並非僅有旗艦版平台,還包含網址服務、電子發票服務項目、SSL加密憑證、SSL憑證檔嵌入服務、其他系統串接維護費、物流系統串接維護費、系統串接維護費等多項加值服務,所以原告所打算取得的標的是具備上開功能與服務之電子商務網站,而非只是單純地租用網路平臺。同時依照契約內容所記載交件、驗貨與報酬給付等細節,可以認為雙方所約定的客製化網路平臺服務,屬於民法第490條所謂的承攬契約。

2.被告應證明損害的發生為不可歸責於被告事由所導致

基於民事訴訟法第277條舉證責任的分配,債務人抗辯損害之發生為不可歸責於己之事由所致,應由其負舉證責任,如不能舉證證明,即不能免責(最高法院107年度台上字第638號民事判決參照)。因此,本件被告主張個資事故是因為駭客攻擊所導致,屬不可歸責於被告之事由而不須要負責時,便應該由被告舉證證明本件損害的發生屬不可歸責於被告之事由所導致。

3.本件被告沒有盡到事前防禦措施,無法證明被告與損害的發生無關

(1)其他使用被告公司提供平台的業者也曾發生多次個資事故

本件判決認為被告雖說明已提供至少有十數項資安防護措施,並有多重之驗證措施、安全性設定機制,以加強使用者使用系統網站功能之保密性及安全性。然而其他使用被告所提供之電子商務平台之業者,也曾陸續發生遭駭客入侵盜取消費者個人資料之情形,甚至同樣使用被告之網路平台之VIVO公司,其網站之資訊安全保護經OWASP標準檢測為最低等級之F。

(2)被告提供的網站平台不符合現行科技水準

被告雖然辯稱他使用至少十數項資安防護措施,且創設數道繁複的手續,然而被告所提供之網路平台在2年間即發生數次個人資料因駭客攻擊而外洩之事件,法院認為如果真像被告所表示採取國際公司規則之資安防護技術,應不致發生如此多次數駭客入侵之情形,且原告與被告雙方雖沒有約定以OWASP標準作為網頁安全漏洞之檢測依據,然而被告所提供之網站如果符合現行科技水準,依OWASP標準檢測之結果,其所獲得之評價也不應該會落入最低等級之程度,因此難以認為被告所提供之網站平台符合現行科技水準。

(3)被告盡到善良管理人注意義務,才有辦法免責

法院更進一步指出,雖然在現行科技水準下,網路世界中雖無法百分之百避免外來之駭客入侵,然網路平台業者仍須善盡其注意義務,維護網絡環境,建置更為良善之資安系統,降低遭駭客惡意侵入之情事發生。被告作為提供網路平台予他人使用之業者,其應負的契約義務除提供權限管道與客戶使用外,還包括維護網站之資訊安全,只有在被告已善盡其善良管理人之注意義務,針對駭客攻擊之事件才有辦法得以免除責任,然而被告並沒有盡到事前防禦措施,因此仍須負起相關責任。

4.原告得向被告請求賠償項目與金額

經過法院認定,原告可以向被告主張的賠償項目與金額有以下三項

(1)解除契約返還報酬

由於原告依民法第494條解除雙方的承攬契約,因此原告可以依照民法第259條第1款、第2款請求先前已給付予被告的承攬報酬。

(2)賠償第三人和解金

由於原告公司因個資外洩事故,導致原告與訴外人達成和解,並給付和解金。同時該和解金與被告提供網路平台的瑕疵間具有相當因果關係,因此原告可以向被告請求此部分損害的賠償。

(3)商譽損失

原告因為網站平台的瑕疵,導致消費者於公共論壇上抱怨與討論,導致原告公司的商譽有所減損,因此法院認定原告可以向被告請求商譽損失。

至於原告主張其他的損失(例如另外與其他網站系統商簽約的支出、網站系統轉換停止營運等損失),則與被告網站平台的瑕疵無關,因此原告不得向被告求償。

由本件判決來看,被告在抗辯的時候除提出抵銷抗辯外,似乎並沒有提出民法第217條過失相抵的抗辯,有點可惜,因此原告公司就個資事故的發生是否有過失,而使被告得以主張賠償金額的減免,在本判決內並無法得知,之後希望可以在上級審的判決中看到更詳細的論述。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

談性向、約炮、多人運動與性隱私的保護

近期陸續發生藝人與網紅被揭露約炮、多人運動或是性向等情形,引起許多風波,從法律的角度來看,前述這些與性有關的資訊原則都屬於個人資料保護法(下稱個資法)第6條所謂的特種個人資料,而不得隨意蒐集、處理或利用。我國立法委員今年也分別提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,希望對於性隱私侵害的情形能有進一步的規範,保障受侵害當事人的權益。

個資法第6條第1項

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
1、法律明文規定。
2、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
3、當事人自行公開或其他已合法公開之個人資料。
4、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
5、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。

而個資法施行細則第4條第4項針對所謂的「性生活」個人資料,其定義為:「指性取向或性慣行之個人資料。」,因此揭露他人性向(性取向)、約炮或多人運動(性慣行)都可能會有個資法第6條特種個資規定的適用,只有在符合該條1到6款法律所規定的事由時,才能蒐集、處理或利用(例如將該等資料公開揭露)。

在媒體接獲爆料者爆料而揭露他人與性有關的資料的情形,其既非法律規定、也不是履行法定義務範圍內,更不可能是為了學術研究或是得到當事人同意,因此可能會有違反個資法第6條的規定。而違反個資法第6條時,可能會有以下民事、刑事與行政責任:

民事責任(個資法第28條第1項與第29條第1項):損害賠償

公務機關或非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,都應負損害賠償責任。同時受害者請求損害賠償時,還應特別注意個資法第30條關於請求權時效的規定,即必須自知有損害及賠償義務人時起2年內或自損害發生起5年內行使請求民事損害賠償的權利。

刑事責任(個資法第41條):5年以下有期徒刑,得併科新臺幣100萬元以下罰金

意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。

行政責任(個資法第47條第1款):5萬元以上50萬元以下罰鍰,並限期改正

非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:1、違反第6條第1項規定。

另外依照個資法第50條 ,如非公務機關受到前述罰鍰處罰時,非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,否則原則上應受同一額度罰鍰之處罰。以前述案例來說,媒體公司的董事長(代表人)除非能證明其就該公司非法揭露他人性生活特種個人資料有盡到防止的義務,否則當該公司受到罰鍰時,仍可能會受到同一金額的罰鍰處罰。

性隱私保護之立法

除了前述個人資料保護法的規定,我國立法委員也分別於今(2020)年提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,「性隱私侵害防制條例草案」較其他草案所規範的「性隱私影像」外,更將「未經同意,將他人與性有關之行為紀錄、傳送、公開或揭露」等行為,定義為性隱私侵害。因此公開揭露他人的性生活等資訊,均可能屬於該「性隱私侵害防制條例草案」所謂的性隱私侵害,而有相關罰則的適用。

同時前述草案也都針對網際網路平臺業者、電信業者與廣播電視事業等有特別規範(例如於時限內移除相關資訊內容),如果違反的話甚至可能會按「每小時10萬元」處以罰鍰。

性隱私無疑是個人最私密的資訊,然而隨著資訊的流通,既有的規範難免有無法周全的時候,也因此會有新的立法與修法不斷推陳出新,而除了不要侵害他人的隱私之外,對於自身的隱私,仍然要多加注意,畢竟一經洩漏,可能是一生的傷害。

※你可能對這些文章會有興趣:
1.個資外洩,該怎麼辦?
2.關於COOKIES同意,你有更好的作法
3.個人資料保護管理制度(PIMS)比較
4.華盛頓州州長簽署臉部辨識法案
5.加拿大隱私專員辦公室提出AI監管方案

律師證書跑哪去?—律師證書區塊鏈

筆者前幾天在一場邀講前往的途中,心血來潮到「法務部律師查詢系統」使用「律師證書區塊鏈驗證服務」,打算體驗一下律師證書與區塊鏈(Blockchain)的應用,然而沒想到卻發現筆者的證書區塊鏈驗證面臨到雜湊(hash)值比較不符的情形(如圖左),究竟是筆者這幾年日夜準備考試、律師執業生涯與律師證書都是夢一場,還是筆者眼睛業障重,才會發生這樣的情況呢?讓我們繼續看下去。

根據法務部的說法,透過結合律師證書與區塊鏈,可以讓民眾即時驗證律師真偽及確認律師證書有效性,避免民眾遭假律師受騙的情形。同時系統也會提供每位律師都將有專屬的QR CODE,可以印製在名片上方便民眾查詢真偽,而如果律師資料有異動,可以再次進行區塊鏈交易取得新的QR CODE。

然而,如果在客戶掃描了QR CODE的資料發現有前述雜湊值不一樣的結果,那可能就有點尷尬。好在法務部貼心的在網頁下方提供承辦人的電話,可以即時請求法務部承辦人與資訊處協助,在經過確認後,發現可能是當初資料上鏈的時候資料有誤,導致無法順利驗證,因此經過承辦人與資訊處協助後,結果便為「驗證屬實」(如圖右),同時也看得出區塊鏈發行日期與交易序號均已不同。

法務部推出這樣的律師證書區塊鏈驗證系統立意實屬良善,使用起來也很方便,同時感謝法務部人員即時提供協助修正資料。區塊鏈儘管有著去中心化、不可竄改性與可追溯性等特性,不過就像這次的故事一樣,如果在一開始資料上鏈的時候便有發生一些問題,則區塊鏈上的資料則會連帶發生錯誤,導致無法驗證,須要再透過產生一筆新的區塊鏈交易來解決這樣的問題。

日新月異的科技固然帶來了許多方便,並解決了許多問題,然而人類仍然是科技的使用者與主導者。所以各位讀者不妨試試看到「法務部律師查詢系統」使用「律師證書區塊鏈驗證服務」,看看為各位服務的律師或是自己的律師證書到底有沒有驗證屬實吧!

※延伸閱讀
1.法務部律師查詢系統
2.劉世怡,中央社,〈驗證律師真偽 法務部109年元旦新系統上線
3.王聖藜,聯合報,〈手機掃瞄專屬QR CODE找律師 法務部明年元旦起上線
4.YuanYin Hsu,〈杜絕《無照律師》真實上演,法務部 2020 年元旦推出「律師證書查驗系統」的下一步是什麼?

個資外洩,該怎麼辦?

隨著網路的普及與電子商務活動的盛行,民眾將個人資料透過各種管道提供給企業時,都會希望企業能夠善盡保管個人資料的義務,作好適當安全維護措施,避免將寶貴的個人資料洩漏給無關的第三人,然而我們仍然時常聽聞聽到媒體報導某某企業發生個資外洩事件,究竟在企業個資外洩的時候,民眾如何透過民事訴訟程序來獲得應有的賠償呢?

個資外洩受害當事人可以主張的權利

1.個人資料保護法(下稱個資法)第29條第1項、第28條第2項

「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」(個資法第29條第1項)
「被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」(個資法第28條第2項)

2.民法第184條第1項前段、第195條第1項

「因故意或過失,不法侵害他人之權利者,負損害賠償責任。」(民法第184條第1項前段)
「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分。」(民法第195條第1項)

3.其他

另外依據具體發生個案內容,實務上也有原告主張下列權利的情形:
「因可歸責於債務人之事由,致為不完全給付者,債權人得依關於給付遲延或給付不能之規定行使其權利。」(民法第227條第1項)
「債務人因債務不履行,致債權人之人格權受侵害者,準用第192條至第195條及第197條之規定,負損害賠償責任。」(民法第227條之1)
「企業經營者違反前二項規定,致生損害於消費者或第三人時,應負連帶賠償責任。但企業經營者能證明其無過失者,法院得減輕其賠償責任。」(消費者保護法第7條第3項)

請求民事損害賠償需要注意的地方

1.請求損害賠償類型(財產上損害與非財產上損害)

如果民眾因個資外洩導致受到財產上的損害或是非財產上損害(例如個資外洩往往可能伴隨人格權、隱私權的侵害,此時即可主張請求非財產上損害,也就是俗稱的精神慰撫金),此時即可分別向被告公司主張前述兩種損害賠償類型。

實務上常看到民眾不清楚可以請求的權利與損害賠償類型,往往僅主張其中之一,而未能另外請求其他損害賠償類型,導致無法成功求償的情形。因此如果評估自身有因個資外洩導致受有財產上損害與非財產上損害,即可向法院表明,以維護自身的權益。

2.請求金額

依個資法請求損害賠償時,原告如果無法證明實際損害時,依個資法第28條第3項,可以請求法院依個資被侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。因此在無法或難以證明因個資外洩的損害金額時,可以請求法院依照該條計算。

然而上開規定僅規範在個人資料保護法,因此如果原告依其他法條(民法第184條第1項前段)請求損害賠償時,則不受前述個資法「每人每一事件新臺幣500元以上2萬元以下計算」的限制,然而相對來說也必須負擔不一樣的舉證責任。

最後必須說明的是,前述限制適用於「每人每一事件」,因此如果發生多次的個資侵害事件,則是以「個資侵害次數 ╳ 請求金額=請求總金額」。在臺灣高等法院107年度上易字第188號民事判決中,法院即認為被告每查詢個資1次,便應賠償非財產上損害1萬元,最高判賠8萬元。

3.舉證責任

由於舉證之所在,敗訴之所在,原告如果想要成功求償,除了引用適當的法條之外,還必須特別注意下列關於舉證的事項:
(1)被告是否有個資外洩的情形?
(2)與原告受損害間有無因果關係?
(3)被告公司有無採行適當安全措施?
筆者將相關判決整理如後,由於個資外洩所造成的金額均較少,無法透過上訴由最高法院統一法律見解。因此,目前法院實務上對於個資外洩相關請求損害賠償事件的舉證責任,仍有些許分歧。

然而筆者認為,隨著時代的發展與商業模式的演變,類似這種個人資料外洩的侵權行為損害賠償,不論是個人資料如何外洩等資料、被告公司是否有依法落實適當安全措施以及相關證據,大多均偏向被告公司一方,而導致民眾有時候求償時,因無法提出確切證明而遭到敗訴的結果。

如果民眾想要向被告公司主張前述權利時,以實務上常見的透過個資、網路訂單的詐騙電話為例,民眾如要維護自身權益,可以透過電話錄音將與詐騙集團的對話錄音存證,同時在後續的訴訟程序中,除了請求法院調查被告公司是否有依個人資料保護法相關規定制定與落實個人資料檔案安全維護計畫,以及所保存的相關紀錄,也可以請求法院適時運用舉證責任轉換的原則,要求由被告公司負擔舉證責任,以減輕原告方舉證的壓力,進而獲得有利的判決結果。

※相關判決見解

(1)被告是否有個資外洩的情形

※認為應由原告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「原告既主張被告違反個人資料保護法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站,及被告違反個人資料保護法規定之事實,即應先負舉證責任。」(臺灣士林地方法院107年度湖簡字第644號民事簡易判決

※認為應由被告負擔舉證責任的判決見解
「駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」(臺灣士林地方法院107年度湖簡字第110號民事簡易判決臺灣士林地方法院107年度湖小字第401號小額民事判決意旨參照)

2)與原告受損害間有無因果關係

※認為應由原告負擔舉證責任的判決見解
「侵權行為之成立,須行為人因故意過失不法侵害他人權利,亦即行為人須具備歸責性、違法性,並不法行為與損害間有相當因果關係,始能成立,且主張侵權行為損害賠償請求權之人,對於侵權行為之成立要件應負舉證責任。是以,原告自應就被告公司有前開侵權行為之要件舉證。……被告公司對其所保有個人資料已採行符合個資法規定之安全措施,雖有本件個人資料外洩之事件,卻係第三人入侵電腦作業系統竊取所致,實難認被告公司就此具有故意或過失,況且,如附表1-A-2所示之人所受財產上損害,亦因第三人故意不法行為所造成,尚不能認與被告公司個人資料外洩間有相當因果關係。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資,抑或因而遭被告公司人員外洩等情,惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公;而被告既為以此交易營利之企業經營者,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告,本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性,而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在……被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施,106年3月間即發生包括原告在內之大量旅客個資外洩情事,被告過失行為與原告個資外洩之損害間具備相當合理關聯,即推定有一般因果關係存在,被告自應提出確切反證始足推翻該因果關係之認定。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決臺灣臺南地方法院臺南簡易庭106年度南簡字第1450號民事判決臺灣士林地方法院107年度湖簡字第110號民事簡易判決意旨參照)

(3)被告公司有無採行適當安全措施

※認為應由原告負擔舉證責任的判決見解
「原告主張依據個資法第29條第1、2項、第28條第2項規定請求損害賠償,自應先由原告就被告公司有違反個資法規定,亦即未就所保有個人資料檔案採行適當之安全措施一事,負舉證之責,若原告先不能舉證,以證實自己主張之事實為真實,則被告就其抗辯之事實即令不能舉證,或其所舉證據尚有疵累,亦應駁回原告之請求。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「被告因原告訂購機票而取得原告之姓名、電話號碼及搭乘客機活動等個人資料,依法應採行適當之安全措施以防止該個人資料被竊取或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過失,原告因而個資被竊取或外洩,自得依個人資料保護法第29條之規定請求被告為財產上或非財產上之損害賠償。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決
「自原告上開個資事後為第三人所竊取或洩漏之事實以觀,足認被告對原告之個資應未採行適當之安全措施甚明。依前揭個資法第29條第1項規定,被告推定為有故意、過失,應就其行為負損害賠償責任;被告如主張免責,即須就其已善盡注意採行適當安全措施,而無故意或過失一事負舉證責任。」(臺灣臺北地方法院107年度北小字第266號小額民事判決

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能還會對這些文章有興趣
1.除了告他還能告誰,個資外洩與系統商責任
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.個人資料保護管理制度(PIMS)比較
5.紐約SHIELD Act

紐約SHIELD Act

2019年7月25日,紐約州州長Andrew Cuomo簽署防止非法侵入與加強電子資料安全法(Stop Hacks and Improve Electronic Data Security Act, SHIELD Act),就既有的紐約資料事故通知法(Data Breach Notification Law)增訂更嚴格的規範。

該法關於事故通知的部分於2019年10月23日生效,資料安全的規範則是於今(2020)年3月24日生效。同時該法也擴大適用範圍,換言之,只要處理紐約州居民的企業均有該法的適用,以下簡單說明該法重點:

  • 私人資料(Private information)定義
    1. 使用者名稱或電子郵件地址,以及可藉此存取帳戶之密碼或安全性問題及答案。
    2. 個人資料(Personal information,任何可識別該自然人的資料)與社會安全號碼(social security number)、駕照號碼、信用卡卡號等財務帳戶資料、生物資料(包含指紋、聲紋、視網膜或虹膜等)。
  • 資料安全保護要求
    1. 合理行政保護措施,包含「指定至少一個人員協調安全計畫」、「識別合理可預見之內部與外部風險」、「評估保護措施的有效性以控制風險」、「管理與訓練人員瞭解安全計畫及程序」、「選擇能夠維持適當保護措施的服務提供者並於契約內約定之」、「適時調整安全計畫」。
    2. 合理技術性保護措施,包含「評估網路與軟體設計中的風險」、「評估資料傳輸、處理與儲存之風險」、「偵測、預防與應對攻擊及系統故障」、「定期測試與監測關鍵控制措施、系統與程序的有效性」。
    3. 合理物理性保護措施,包含「評估資料刪除銷毀與儲存之風險」、「入侵之偵測、預防與應對」、「避免私人資料於蒐集、傳輸或刪除銷毀期間及後續遭未經授權存取或利用」、「在其商業目的不再需要該私人資料後合理期間內,刪除銷毀該私人資料,使該資料無法被讀取及還原。」
  • 至於「員工少於50人」、「最近三個會計年度,年營業額均少於300萬美元」或「根據GAAP公認會計原則,其年末總資產少於500萬美元」的小型企業(Small Business)則應考量其規模與複雜性,以實施其上述保護措施。
  • 同時該法也擴大既有資料事故定義,修改為「未經授權的存取或取得私人資料」與「未經有效授權而存取或取得私人資料」,而損害私人資料之安全性、機密性與完整性,同時企業發生資料事故,則應依該法規範進行通知或履行相關義務。
  • 違反紐約SHIELD Act,紐約檢察長將可依法處以每次違反最高5,000美元之民事罰款。

關於Cookies同意,你有更好的作法

愛爾蘭資料保護委員會( Irish Data Protection Commission)於今年(2020)4月6日發布cookies與類似追蹤技術利用的報告與指引

根據該報告與指引:

圖一、不好的Cookies同意框

本網站使用Cookies來確保您在我們網站上獲得最佳使用體驗。(了解更多)

圖二、較佳的Cookies同意框呈現方式

我們透過使用Cookie來達到網站最佳使用體驗,包括社交媒體功能與流量分析。點擊接受即表示您同意我們使用cookie。要更改Cookie的類型,請點擊「Cookie設定」

然而愛爾蘭資料保護委員會指出,儘管圖二所敘述的資訊較圖一來的清楚完整,然而在「接受Cookies」與「變更cookies」兩個按鈕間,不應過份強調「接受Cookies」的按鈕。

同時,委員會也強調,Cookies同意框的呈現還需特別注意「避免預先勾選同意框」、「避免使用輕推(nudge)技巧」、「不得為綑綁式同意」、「cookies的保存期間」與「同意的撤回或修改」等事項。

個人資料保護管理制度(PIMS)比較

本文以下簡單比較臺灣國內主流與個人資料保護有關的管理制度(包含ISO2701、ISO27701、TPIPAS與BS10012):

個人資料保護管理制度規範大綱比較:

ISO27001ISO27701TPIPASBS10012
簡介簡介0.前言0.前言
1.適用範圍1.適用範圍1.適用範圍1.範圍
2.引用標準2.引用標準2.版本標示2.參考規範
3.用語及定義3.用語、定義與縮寫
4.一般要求
3.用語與定義3.名詞、定義與縮寫
4.組織全景5.2組織全景4.要求事項
5.管理責任
4.組織全景
5.領導作為5.3領導作為4.要求事項
5.管理責任
5.領導作為
6.規劃5.4規劃4.要求事項6.規劃
7.支援5.5支援4.要求事項
7.文件及紀錄之控管
7.支援
8.運作5.6運作4.要求事項8.運作
9.績效評估5.7績效評估6.有效性量測
8.內部評量
9.1定期檢視
9.績效評估
10.改善5.8改善9.改善10.改善
6.與ISO27002相關
的PIMS指引
7.對PII控制者於
ISO27002附加指引
8.對PII處理者於
ISO27002附加指引

補充說明:TPIPAS全名為台灣個人資料保護與管理制度

個人資料保護管理制度驗證事項比較

ISO27001ISO27701TPIPASBS10012
性質ISMS資訊安全管理系統PIMS個人資料隱私管理系統PIMS個人資料管理系統PIMS個人資訊管理系統
特色著重資訊安全控制項在ISO27001的基礎上架構個人資料隱私管理要求基於我國個資法所制定標準內容偏重歐盟一般資料保護規則GDPR
驗證相關事項可選擇就組織部分流程或組織進行驗證驗證範圍必須通過ISO27001可選擇就組織部分流程或部門進行驗證,然而
全組織通過驗證者,將會
取得我國的資料隱私保護標章dp.mark
可選擇就組織部分流程或組織進行驗證

由上述比較表可以知道,其實目前國內關於個人資料保護管理制度規範內容大同小異,都是以PDCA為基礎的管理制度,因此組織在選擇管理制度與驗證通過需求時,可以考量自身規模、須遵循的法令、成本等因素。

例如該組織業務皆與我國有高度相關,可考慮導入TPIPAS並取得資料隱私保護標章,以證明組織本身個資管理與保護能力,以及符合個人資料保護法,倘選擇以國外法規為基礎的標準,可能導致組織同仁適用上的疑義,以及與我國法規遵循的不一致(例如我國與GDPR對於個人資料與特種個人資料的定義即有不同、GDPR甚至要求組織踐行諸多義務並賦予資料主體各種權利),相比之下,可能增加組織內許多無形的成本。

華盛頓州修正機構違規通知法

華盛頓州州長於2020年3月18日簽署新修正通過的華盛頓州機構違規通知法(Agency Breach Notification Law, Agency Breach Law),該法適用於州內所有各級州與地方機構,包含部門、局、委員會等機構

該修正案將於2020年6月11日生效,本次修正針對機構違規通知法對個人資料(personal information)的要件,增列社會安全號碼(Social security number)後四碼,換言之,只要該個人姓名結合該後四碼或其他諸如駕照號碼、出生日期等資料要素(data elements),即構成該法的個人資料。