個資法修法通過 KPMG：仍需補強兩項關鍵成功因素

立法院今天三讀通過個人資料保護法部分條文修正案，KPMG安侯企業管理（股）公司董事總經理謝昀澤表示，除了修法，要降低近期個資外洩連環爆的危機，還包括「業者有效的個資保護落地措施」、「民眾的資安意識」等兩項關鍵因素，才能成功拆彈。過去業者普遍存在「只要不上報就沒事」、多數消費者也有「我怎麼可能被詐騙？」的僥倖心態，應該要立即調整。

謝昀澤說，這次修法針對一般民間企業對消費者的個資管理，採取「提高金額處罰」、「檢查違規就罰」，及「按次連續處罰」這三個方向，並指定「個人資料保護委員會」為個資法主管機關，彰顯政府對業者「主動監理」的時刻來臨了。

謝昀澤分析，近期暴雷的多起個資外洩事件，雖個案原因尚待調查，但一般業者常見的疏失不脫人員、系統與流程三大層面，如系統漏洞遭到利用、防火牆及其他雲端服務安全設定錯誤、內部管理人員或委外廠商疏失或遭社交工程入侵電腦等。近期就有網路服務業者將客戶的個人資料放在雲端，卻未妥善設置權限控管，導致不需要駭客技術的一般人，只要點選連結位址，就可以將雲端資料庫的機敏個資一覽無遺，即是一個最明顯的管理疏失案例。

實務上，業者為了因應未來主管機關高強度的主動稽查，謝昀澤認為企業除基本的防毒防駭系統外，可考慮導入資料盜失防護（DLP）等進階機制，並確實監控資料庫活動，以便及時發現異常存取行為與網路流量。管理流程上，建議依據主管機關個人資料檔案安全維護計畫，並參考國際與國內資安標準，如ISO27001（資安管理制度）、ISO27701（隱私保護制度）等規範要求，訂定兼顧數位應用需求且合於個資保護要求的措施，讓駭客或其他有心人士「進不來」企業內部、「看不懂」機敏資訊，更「帶不走」客戶資料，以高標準來管理客戶資料。特別針對近期外洩熱區產業，如網路電商、旅宿觀光、交通等業者，更需要積極備戰。

謝昀澤也提醒民眾，個人的個資保護意識，也是影響自身隱私的重大關鍵。消費者應隨時提高警覺，未經確認不任意提供資料、不開啟來路不明的電子郵件及附加檔案、不登入未經確認的陌生網站，以避免社交工程的攻擊傷害。近期各式的詐騙手法不但充滿專業性、多樣性，且非常貼近生活與時事，如每年的退稅季、旅遊季，或特定商品的熱銷季等，都是詐騙集團的大忙季，民眾應多關注165反詐騙網站所提供之最新詐騙宣導資訊。

如消費者個資外洩，是否可以求償？KPMG安侯法律事務所合夥律師鍾典晏說，以2017年發生EZ訂（EZding）購票平臺個資外洩一案為例，被害人向該平台提告，包含被騙損失的25萬多元，以及個資法第29條規定的2萬元賠償，還有個資外洩帶來的精神慰撫金5萬元。該案經二審判定用戶遭詐欺侵權行為的損害賠償，也應付起7成責任，而最終裁定賠償18萬3274元。鍾典晏提醒業者，未來如發生相關事件，業者所受裁罰尚包含修法後，主管機關另行處罰的高額罰款，企業對消費者個資的保護程度，應該立即精進。