Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
政 風 園 地 高雄高等行政法院政風室編製 100年10 月
法令天地:
消費者保護:
1.言詞嚇人,就成恐嚇
2.廉政署受理檢舉管道
3.檢肅貪瀆海報
消費者保護案件
安全天地: 1. 管理權人對火災預防之責任 2. 被詐騙案例
3. 安全維護海報
機密視窗: 1. 個人資料保護實務與稽核準備 2. 資安標語
心靈小品:
反毒專區:
現代癡情父母?乞丐媽媽與富兒子
反毒參一咖:反毒宣導
廉者常樂無求,貪者常憂不足
個人主觀的想法,有時會與周邊環境發生落差。
言詞嚇人,就成恐嚇◎葉雪鵬 (作者曾任最高法院檢查署主任檢查官)
前些日子,一位邱姓男子偕同朋友在餐廳用餐,鄰桌也有幾位大人帶著他們的5名小
寶貝在餐聚。這幾位小孩在餐廳中好像找到嬉鬧的舞台一般,儘量發洩他們潛藏的表演才
能,蹦蹦跳跳,高聲喧嘩,無視周遭用餐者投射的異樣眼光。火暴的邱姓男子忍受不了,
央請服務生制止,也無效果;被惹火的他按捺不住便走向鄰桌大聲咆哮,對著那幾位玩過
頭的小孩吼著說:「不能安靜一點嗎?沒有見過壞人是不是?」說完話就回到自己的坐位
去。由於邱姓男子的聲音很大,表情又凶惡,讓小孩子們認為壞人就是這副模樣,5名一
歲半至六歲的小孩中,有3名小朋友當場被嚇得放聲大哭。
小孩的母親看到孩子被嚇成這樣子,護子心切也不管對方是好人或是壞人,就離座走
向邱姓男子的面前,婉轉地告知他:「如果認為小朋友的行為不對,應該先與家長溝通,
不需要大吼大叫。」不料邱姓男子見被他嚇到的小孩家長出面指責,馬上變臉,隨手拿起
桌上的刀叉揮舞著,幸好隨即被餐廳人員勸阻奪下,才沒有釀成嚴重的事情。邱姓男子這
一段行為,後來被檢察官以恐嚇罪聲請法院以簡易判決處刑。
邱姓男子被那些玩得過火的小孩吵得忍無可忍之後,用他自認為妥當的方式來教訓別
人家的小孩,其實這種個人主觀的想法,有時會與周邊環境發生落差。邱姓男子在公共場
所的餐廳中教訓別人家的孩子,這一套如果用在家中對付自己的孩子,可能不會有問題發
生,因為父母對於未成年的子女,有保護及教養的權利義務,是《民法》第 1084 條第2項
所明定,而且依同法第 1085 條規定,在必要的範圍內,父母是可以懲戒他們的子女。但是
用在公共場所嬉鬧的別人家小孩身上,可就不一樣了,因為不具維護安寧秩序權限及警察
身分的一般人,是無權力去維護或制止他人不遵守秩序的行為;如果執意要強出頭,做一
些替公眾行道的事情,有時也會為自己帶來麻煩。邱姓男子便是一個值得警惕的例子!
嚇嚇別人家的小孩為什麼會為自己招來刑責呢?原來《刑法》分則中有一條專事維護
危害安全的犯罪法條,那便是第 305 條,法條是這樣規定的:「以加害生命、身體、自由、
名譽、財產之事,恐嚇他人致生危害於安全者,處二年以下有期徒刑、拘役或三百元以下
罰金。」法條中所稱的「加害」,是指用非法的手段,將未來的害惡意思通知被害的一方
就符合犯罪的要件,不必真有加害的意思,更不容許有加害內容的實現行為。如果將加害
的內容通知被害人以後,又實施加害內容的犯罪行為,這時候就應該直接適用加害的犯罪
法條來處罰,殺人者按殺人罪處斷、傷人者按傷害罪處罰,而不是單純恐嚇的犯罪行為。
至於通知的方法並沒有限制,當面將加害的事由直接告知被害人固然是通知,將害惡的意
思告知被害人的親友或他身邊的人,要他轉告被害人的間接通知,也符合通知的要件。恐
嚇通知的方法,並不限於言語,用文字、圖畫、舉動都可以發生害惡通知的效果,只是在
外對人揚言將對某人不利,而沒有要他人轉告被害人的意思,則不能算是通知,不是通知
就不成恐嚇犯罪。成立犯罪的加害通知,內容以加害他人的生命、身體、自由、名譽、財
產的事由為限,加害通知的內容,非屬以上所列舉的他人權利,就不屬恐嚇罪的範圍。
條文中所列舉的「生命」,是指人生活在人世間的壽命,例如:行為人通知被害人說:
「你再不還錢,當心你的小命」;或者直接說「我要殺你」,都是加害生命的通知。「身
體」是指人的肉體:包括人體的外部五官與四肢,人體內部的臟腑器官、生殖機能、容貌,
以及齒舌等都屬於身體的範圍。「自由」一般說來可分為意思自由與行動自由兩種:意思
自由再可細分為言論自由、著作自由、出版與講學自由等四種;行動自由是指一個人憑他
自己的意思來行動,自己想到那裡就到那裡,不受任何干涉。行為人如對這些自由為害惡
的通知,不問是其中的一項或多項,都合於犯罪的要件。「名譽」是指一個人在社會上應
享有的地位。「財產」是指一切具有金錢價值者,都包括在內。
以上所列舉的四項事由,都是《憲法》明文保障人民的自由與權利,不容許任何人加
以侵害。雖未有實際的侵害權利行為發生,但行為人已對擁有這些權利者為侵害的通知,
若接受通知者因對通知的內容感受到恐懼,即危害到社會的安全,所以《刑法》規定處罰
這種通知的行為,用以維護社會的治安。因此,這法條還有一個要件,那就是「恐嚇他人
致生危害於安全」,恐嚇的意義,就是行為人為使對方產生恐懼的意思,所以表示要戕害
對方的生命、妨害對方的自由、破壞對方的名譽、毀損對方的財產,這些都是恐嚇的行為。
如果恐嚇的行為不會引起被恐嚇者的畏怖心,也就是對方不會感到絲毫害怕,例如恐嚇者
與被恐嚇者是多年老友,深知恐嚇者膽小如鼠,根本不會有進一步動作,所以不會感到害
怕,那就與犯罪構成的要件不合;恐嚇者雖表示將要對他方不利,但使用的手段卻是合法
的,那也不成犯罪。例如:「你再不還錢,我要請法院查封你的財產!」由法院實施查封,
是催討債務的正當途徑,更不能指是恐嚇的行為。 (本文轉載自法務部〈法律常識-法律時事漫談〉網頁,登載日期為 100 年 2 月 8 日,文中所援引之相關法規如有變動,仍請注意依最新之法規為準)
廉政署叮嚀事項
公務部門致力處理各項公務、提升行政效率、簡化與透
明行政程序,係屬對人民之承諾。因此,本署呼籲民眾
於洽辦公務時,依相關行政作業程序申請即可,「不必送
」也「不能送」紅包或其他不正利益給公務員,以免反
而誤觸法網,得不償失。
高雄高等行政法院政風室 關心您
消費者保護案例
民眾甲收到 A 公司寄來的「存證信函」,說渠欠錢 5萬元,要求還錢,民眾
甲以為是詐騙事件,未加理會;1個月後,收到 B 法院寄來的「支付命令」,上
面寫著要渠還錢給 A 公司,如有異議請於 20 天內提出,該民眾仍認為是詐騙事
件,一樣不予理會;再過 1個月後,卻收到 C法院「執行命令」,主旨告知:將
強制從渠任職處扣薪水償還,該民眾仍認為是詐騙事件,但文內卻有渠之工作資
料,這時才驚覺事有蹊蹺,打電話至 C 法院詢問,才知道不是詐騙事件,「存證
信函、支付命令、執行命令」都是真的,雖然渠尚未欠款,但仍被強制執行扣款,
事後欲救濟提出訴訟,但卻曠日費時。
鑑於民眾在不知情的情況下,很容易將整件事視為詐騙事件不予理會,但
此事件整體嚴重性不容小覷,請貴單位加強宣導,提醒民眾應正視「存證信函、
支付命令、執行命令」之效力;尤其「支付命令」應於 20 日內聲請異議,否則,
「執行命令」是有法律效力的強制執行,事後再提出訴訟,所付出的時間成本恐
難以估計!
消費者保護法令宣導
管理權人應遵守消防法規定,確保單位遠離火災可能帶來的災害。
管理權人對火災預防之責任◎盧樹人
今(100)年3月份臺中市中興街夜店「ALA」PUB 發生嚴重的公共安全意外,奪走9條
人命,並有 12 人受傷,導致臺中市都發局長、經發局長及臺中市消防副局長遭監察院彈劾,
再次喚醒人們對消防相關法令之重視。
消防法於民國 74 年經政府明文制定公布實施,至今已屆滿 26 年,惟諸多機關與事業單
位管理權人對火災預防應盡之責任仍未臻熟稔。猶記民國 92 年7月 24 日國立臺灣史前文化
博物館肇生火災,該館館長因未依消防法規定遴用防火管理人並責其制定消防防護計畫等缺
失,而遭監察院以漠視消防法令及怠忽職責等情節,將該館館長依監察法第6條規定提案彈
劾。因此,為使社會大眾對消防法有更深一層的了解與認知,以下將就管理權人依法對火災
預防應盡之責任,加以闡述說明。
消防法所稱管理權人係指依法令或契約對各該場所有實際支配管理權者;其屬法人者,
為其負責人。準此,機關、公民營事業單位管理權人即為其主官;公司行號者為其負責人。
依消防法規定,管理權人對火災之預防應實施下列作為,以維護單位人員的生命、財產
安全。
一、消防安全設備維護:依消防法第6條規定,依法令應有消防安全設備之建築物,管
理權人應設置並維護其消防安全設備,直轄市、縣(市)消防機關並得依場所之危險程度,
分類列管檢查;若經檢查不合規定者,將通知管理權人限期改善,並予複查。
其次依消防法第 35 條規定,應設置消防安全設備之供營業使用場所,其管理權人未依
規定設置或維護,於發生火災時致人於死者,處1年以上7年以下有期徒刑,得併科新臺幣
100 萬元以上 500 萬元以下罰金;致重傷者,處6月以上5年以下有期徒刑,得併科新臺幣
50 萬元以上 250 萬元以下罰金。
二、委託合格專業人員定期檢修消防安全設備:設置消防安全設備之場所,其管理權人
應委託消防設備師或消防設備士,定期檢修消防安全設備,並將檢修結果,依限期報請當地
消防機關備查;但 16 層以上建築物或地下建築物消防安全設備之定期檢修,其管理權人應
委託經中央主管機關審查合格之專業機構辦理。
其次依消防法第 38 條第2項,違反有關檢修設備之規定,經通知限期改善,逾期不改
善者,處其管理權人新臺幣1萬元以上5萬元以下罰鍰;經處罰鍰後仍不改善者,得連續處
罰。
三、防焰物品之使用:依消防法第 11 條第1項規定,地面樓層達 11 層以上建築物、地
下建築物及中央主管機關指定之場所,其管理權人應使用附有防焰標示之地毯、窗簾、布幕、
展示用廣告板及其他指定之防焰物品。
其次依消防法第 37 條第1項,違反防焰物品使用之規定,經通知限期改善,逾期不改
善或複查不合規定者,處其管理權人新臺幣 6,000 元以上3萬元以下罰鍰;經處罰鍰後仍不
改善者,得連續處罰,並得予以 30 日以下之停業或停止其使用之處分。
四、遴用防火管理人:依消防法第 13 條規定,一定規模以上供公眾使用建築物,應由
管理權人,遴用防火管理人,責其製定消防防護計畫,報請消防機關核備,並依該計畫執行
有關防火管理上必要之業務。地面樓層達 11 層以上建築物、地下建築物或中央主管機關指
定之建築物,其管理權有分屬時,各管理權人應協議製定共同消防防護計畫,並報請消防機
關核備。
其次依消防法第 40 條,違反遴用防火管理人之規定者,經通知限期改善逾期不改善者,
處其管理權人新臺幣1萬元以上5萬元以下罰鍰;經處罰鍰後仍不改善者,得連續處罰。
另外有關一定規模以上供公眾使之用建築物,應由管理權人,遴用防火管理人,責其製
定消防防護計畫部份,特別在此說明,所謂一定規模以上供公眾使之用建築物範圍,依消防
法施行細則第 13 條規定如下:
1. 電影片映演場所(戲院、電影院)、演藝場、歌廳、舞廳、夜總會、俱樂部、保齡球館、三溫暖。
2. 理容院 (觀光理髮、視聽理容等) 、指壓按摩場所、錄影節目帶播映場所(MTV等)、視聽歌唱場所(KTV等)、酒家、酒吧、PUB、酒店(廊)。
3. 觀光旅館、旅館。 4. 總樓地板面積在 500 平方公尺以上之百貨商場、超級市場及遊藝場等場所。 5. 總樓地板面積在 300 平方公尺以上之餐廳。 6. 醫院、療養院、養老院。 7. 學校、總樓地板面積在 200 平方公尺以上之補習班或訓練班。 8. 總樓地板面積在 500 平方公尺以上,其員工在 30 人以上之工廠或機關(構)。 9. 其他經中央主管機關指定之供公眾使用之場所。
其次防火管理人製定之消防防護計畫,依消防法施行細則第 15 條規定應包括下列事項:
1. 自衛消防編組:員工在 10 人以上者,至少編組滅火班、通報班及避難引導班;員工在 50 人以上者,應增編安全防護班及救護班。
2. 防火避難設施之自行檢查:每月至少檢查1次,檢查結果遇有缺失,應報告管理權人立即改善。
3. 消防安全設備之維護管理。 4. 火災及其他災害發生時之滅火行動、通報聯絡及避難引導等。 5. 滅火、通報及避難訓練之實施;每半年至少應舉辦1次,每次不得少於4小時,並應
事先通報當地消防機關。
6. 防災應變之教育訓練。 7. 用火、用電之監督管理。 8. 防止縱火措施。 9. 場所之位置圖、逃生避難圖及平面圖。 10.其他防災應變上之必要事項。
遇有增建、改建、修建、室內裝修施工時,應另定消防防護計畫,以監督施工單位用火、
用電情形。
綜觀上述說明,使我們知道管理權人對單位之火災預防工作,輕忽不得,單位管理權人
應遵守消防法規定「定期維護消防安全設備」、「委託合格專業人員定期檢修消防安全設備」、
「遵守防焰物品之使用規定」、「遴用防火管理人,責其製定消防防護計畫」,如此才能使
單位遠離火災可能帶來的災害,減少悲劇發生,也就是「多一分準備,少一分風險」,讓單
位永保安康。
(作者服務於大陸工程公司,為國家專技高考「消防設備師」)
被詐騙案例
中午吃飯的時候,手機響起簡訊聲,內容是一組 YAHOO 奇摩的認證碼!
當時不以為意,結果才剛剛蓋上手機,就有一通未顯示來電的電話: 「大哥大哥不好意思,剛剛是不是有一封 YAHOO 奇摩的認證簡訊傳到您
的手機嗎?」(女生,還滿年輕的聲音) 「嗯?是有一簡訊沒錯!」「大哥大哥不好意思,剛剛我在用 YAHOO 奇
摩認證的時候,手機號碼輸入錯誤了,輸入到您的手機號碼了,不好意思,
能不能拜託您把哪個認證碼跟我講一下,不好意思不好意思,拜託您幫忙
一下,拜託拜託拜託!」(非常誠懇跟急促)那時在吃飯,人又多,也沒想
太多,就翻一下簡訊跟他講一下 989546 上面的認證碼,「大哥,謝謝您!」
隨即電話掛掉。 但是突然越想越不對,會不會是詐騙集團?!於是我立即撥打 165! (沒錯!不知道為什麼,我就是很容易接到詐騙集團的電話,被綁架、猜
猜我是誰?、檢察官帳戶被盜用等等,所以最後我也懂得去打 165 去詢問
跟報案)結果打 165 後,我問接電話的小姐說,最近有沒有有關於認證碼
的詐騙案例?小姐跟我回覆,「有!」,而且這兩個月還滿多的,這個時候
就立刻跟 165 問清楚這樣是怎樣的情形,原來這是目前小額付款的漏洞,
去線上購買遊戲的點數卡還是通話卡之類的消費,去作購物動作的時候,
廠商系統會要求輸入手機號碼,然後在發一組認證碼到手機上,在將收到
的認證碼輸入到系統後,就算是完成小額付款的動作了! 一般而言,小額支付主要是取代小額的現金交易,這種方式雖然是增加民
眾的便利性,卻也被詐騙集團利用,成為新興的詐騙手法,若是粗心大意
或不察,便會付費去幫歹徒購買遊戲點數而造成自己的財物損失。警方呼
籲,目前這項小額付款不須使用人提出申請,就可直接開通使用,對於家
長而言,無異是個隱憂。 雖然各家電信業者都訂出一定金額的購買上限,但是歹徒所購買的遊戲點
數費用,通常都好幾千元以上。歹徒會要求民眾提供多個電話門號,連續
購買遊戲點數,等到下個月收到電話費帳單暴增時,才發現被騙。 對於這種新興詐騙手法,民眾務必要提高警覺,也要提醒家人,讓家人知
曉歹徒這類的詐騙手法,並在不明來源電話中,勿聽信對方任何言語,也
勿輕易在電話或網路中,告知對方家中成員的個 人資料,收到任何簡訊(認
証碼)勿輕易回覆或將認証碼告知任何人,以免遭到歹徒詐騙而得不償失。
個人資料要盤點時,究竟要如何盤點才算正確且不會造成遺漏?
個人資料保護實務與稽核準備(上) ◎黃小玲
壹、前言
小王跟隔壁小張抱怨:又要開始個人資料盤點了。小張:怎麼說「又要」?小王:上次
不是才說請各部門對所擁有之個資進行盤點嗎?現在高層又請了號稱經驗豐富的專業顧問
設計個資盤點表格,所以又得重來一次。小張:那你預估我們個人資料盤點到底要做幾遍才
能算完成?小王:我猜應該是直到高層知道如何做下一步時才會完成吧!先別聊天,你幫我
看看這兒有一筆個人資料是紀錄小明曾經感染 B型肝炎而請病假休養的紀錄,是應該歸屬到
「病歷」還是「醫療」這一欄?小張驚呼:這麼多欄位都要填哦!而且醫療列為特種資料,
病歷是一般個資,那差別在那呢?小王:…
以上小故事,反映現在個資擁有者或管理者的問題,當大家都知道個人資料要盤點時,
究竟要如何盤點才算正確且不會造成遺漏?是對照到個人資料保護法的個人資料定義一一
盤點勾選,或是只分一般與特種資料即可?
第二個問題則是完成個資盤點後,下一步呢?按部就班,了解且依據法令或主管機關要
求,可以是在施行細則公告之前的解決方案。
本文將從分析個人資料保護法的要求、個資管理實務及後續維護時之稽核要點,提供組
織日後維護管理或稽核時參考。
貳、個資稽核計畫準備
個人資料保護法不論是針對公務機關或非公務機關,都有類似的一條規定:…應採行適
當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。[2]
所謂適當之安全措施,應從組織所擁有之個人資料屬性進行評估,包括個人資料之特性
(一般與特種資料)、個人資料敏感程度及擁有之個人資料數量。特種個資在一般情況下,
是不得蒐集、處理及利用,當然有少數情況是例外的;而擁有之個人資料數量則是考量日後
若真有個資事件發生時,所涉及之損害賠償及訴訟等問題。
依據英國個人資訊保護標準(Data protection:Specification for a personal
information management system)[1]中提到個人資料的稽核應排定稽核週期,以俾(1)
檢視個人資料保護制度是否跟既定政策或程序相符;(2)建置與維護上是否符合技術要求。
從以上可以知道稽核要求應兼顧流程與技術。以下將從管理流程與技術方案角度,分別概述
個人資料保護實務與進行後續稽核時應有之準備。
參、管理流程稽核
個人資料之主要活動包括:蒐集、處理、利用及國際傳輸[2],而僅是處理活動就涵蓋
資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。管理
流程稽核之規劃重點,建議可從主要個資管理流程中,參考 BS 10012 個人資料管理標準,
依管理稽核流程之文件藍圖,詳見圖1,以規劃或執行個人資料管理機制之系列稽核。接續
將整理關鍵管理流程主題,並分述稽核要點。
一、政策與保護要點
為使組織有既定之個人資料保護策略與方向,首要工作為訂定及公布組織之個人資料保
護政策與要點,清楚定義組織內部一致之保護政策,同時提供個資當事人了解自身之相關權
利與義務。稽核要點如下:
(一)個人資料之蒐集、處理或利用,是否有法源依據或符合特定目的?
(二)是否訂定個人資料保護政策及管理要點?此政策應涵蓋與適用之範圍及對於個人資料
保護之管理方向。
(三)是否準備個人資料提供同意書以請求當事人之意向?同意書應載明個資當事人所有法
律賦予之權利及組織保密之責任等等。
二、角色與管理責任
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項…[2] ;國外盛行之隱
私長角色,可供國內組織參考,同時再由隱私長發展個資保護組織架構。在角色與管理責任
可能出現的爭議點是:個人資料保護應由資訊人員主責或其他專責人員負責?會出現這個議
題也是因為現行個人資料大多透過電腦記錄、儲存及傳送,建議組織可依業務特性,分析及
決定個資管理角色與責任。稽核要點如下:
(一)個資保護組織架構是否包括管理階層人員?檢視個人資料管理由上至下(Top down)
的管理方式。
(二)是否提供合宜之聯絡方式予個資當事人?以利個資當事人行使其權利。
(三)個資保護組織架構之人員是否清楚應盡之權責事項?測試相關人員對個人資料之認識
與管理能力。
(四)是否建立個人資料防護之教育訓練程序?藉由檢視訓練內容及紀錄確認人員之認知與
技能,了解組織內所有人是否皆完成基本之認知課程。另外針對個人資料管理,組織應特別
再提供進階訓練。
三、通知與應變程序
對組織而言,最讓人擔心害怕的事,恐怕是個資事件發生時,通報者是外部人員或是受
害者直接告知。組織違反個人資料保護法時,應在查明個資事件後,以適當方式通知當事人。
[2] 稽核要點如下:
(一)是否建立個人資料審視管理程序,定期檢視違反個資保護之徵兆與可能之趨勢?
(二)檢視通知與應變程序是否排定測試計畫,並確認其可行性。
(三)個資事件發生後,是否視應變需要重新調整管理計畫?同時得確認後續管理計畫之有
效性。
(四)是否留存所有通知與應變程序之紀錄,做為日後分析與處理經驗分享使用?
四、委外管理
受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同
委託機關。[2]第4條。委外管理之所以重要,是因為不論公務機關或非公務機關個人資料
蒐集、處理及利用等程序委外皆有相當高的機會與比例,委外管理不可不慎。稽核要點如下:
(一)是否於合約中載明應遵循組織之個人資料保護管理原則?
(二)是否具備對個資事項之稽核權?確認組織是否派員執行稽核、稽核頻率及稽核紀錄
等。確認委託機關之防護要求等級應與組織相同,以確保風險發生之可能性。
(三)委外機關管理受委託之個人資料是否與組織之管理等級相同?
五、其他管理稽核事項
(一)檢視當事人行使個人資料保護法所賦予之權利時,組織回應之程序與方法,可確認組
織能否於限定期間內回覆?依[2]第 13 條規定,得依當事人不同之請求權利於 15 日或 30
日內完成准駁之決定。能否設計妥適回應流程,且即時回覆個資當事人,應列為稽核要點之
一。
(二)可攜式媒體是否訂定個人資料儲存、傳送之管理程序?隨身碟、平版式電腦及智慧型
手機之盛行,相對地也提高資安事件之風險程度;若這些裝置未納入資料保護與控管的範
圍,則未來可能成為風險發生之最大來源。
(三)是否訂定銷毀程序,包括紙本資料及電子檔案等不同之處置程序?確定銷毀過程皆留
下紀錄,並可被再次顯現?
(四)是否定期進行管理階層審查,以確認個人資料保護政策之合宜性、個資事件趨勢及處
理之有效性,甚至是因為內在或外在環境的改變而需要調整的管理程序?
(五)個人資料是否有國際傳輸行為?除考量是否符合本國法律外,亦應考量雙方管理程序
與交換技術之操作安全?
個人資料保護需兼顧管理與技術兩方面,以周全個資之防護機制。下期文章將從個人資料保
護法要求之「安全維護事項」,分析如何從技術觀點進行稽核準備。
個人資料保護實務與稽核準備(下)
壹、前言
MIS 林經理、小王及法務部門李經理組成一個稽核團隊。李經理:「我知道個人資料保
護法要指定專人辦理安全維護事項,但『安全維護事項』到底是什麼?個人資料保護法又沒
寫任何維護重點,到底應該如何準備稽核?」MIS 小王:「個人資料保護法都是法條,我也
沒有任何線索與概念,更不知道如何稽核啊!」
組織在辦理安全維護事項與後續稽核準備時,對於管理流程通常比較容易理解如何準
備,技術領域則較沒有統整規畫。以下將摘要幾項技術稽核重點,提供組織日後規劃個資技
術稽核時參考。
貳、技術稽核
個人資料管理制度的建置需要不同的領域包括法律、管理及技術等不同領域之專業人
員,共同規劃安全維護事項。個人資料管理制度具備基礎後,則應培訓具備相關技術的專業
人員,以利後續進行稽核審查。依據個人資料在資訊環境分析後,建議組織可依圖1之個資
防護藍圖,分別從網際網路、作業系統、應用系統/資料庫,及使用者端點部分規劃應建置
之個資防護技術,後續再以具技術之專業稽核人員分層檢視。
一、應用系統開發與維運
應用系統不論是自行或委外開發,皆應訂定系統安全規格及分析。特別是若要利用系統
處理個人資料時,更應特別注意安全要求。現今組織不乏委外開發(甚至是跨國開發)資訊
系統之案例,往往因為開始時疏忽安全設計,合約結束後又未確認所有個人資料已刪除或充
分移轉至組織自行管理,而導致個人資料外洩事件層出不窮。
─稽核要點如下:
(一)是否加入個人資料安全之規格分析?系統開發完成時,是否就已知之弱點,執行源碼
檢測?
(二)是否考量系統個人資料報表或紀錄產出時,加入遮蔽機制?
(三)系統開發人員是否擁有正式維運系統個人資料之存取權限?
(四)檢視資料庫若有個人資料是否考量加密?特別是資料庫中若包含特種或敏感個資時,
應檢視加密或遮蔽處理,包括檢視加密長度、金鑰管理等等。
二、存取控制
個人資料保護法清楚定義特種個資蒐集有所限制,這些限制也表示個資依個資衝擊分析
或風險評鑑結果,應建置不同之存取控制機制。有鑑於個人資料多具備數位與實體兩種形
式,因此存取控制機制應包括邏輯防護及實體安全等管控方式。
─稽核要點如下:
(一)是否採取獨立性與職責分工原則,訂定以角色(Role based)為基礎的存取控制機制?
檢視是否具備個資處理或利用之授權表,清楚定義每個角色之存取權限。
(二)特種個資或具敏感性個資是否加強系統使用者的認證方式?是否使用類似帳號密碼,
輔以生物辦識或憑證等雙重認證方式。
(三)是否建置數位版權管理工具(Digital Right Management)?管控使用者存取特種個
資或具敏感性個資之相關行為,包括列印、轉寄、複製或畫面擷取等行為。
(四)是否允許遠端連線個人資料?應檢視遠端連線存取之組態設定,是否包括 VPN 或加密
等連線管控。
三、舉證與日誌保存
非公務機關違反個人資料保護法,致個人資料遭不法蒐集、處理、利用或其他侵害當事
人權利者,負損害賠償責任,但能證明其無故意或過失者,不在此限。[2]第 29 條。舉證
與日誌保存對組織而言往往是一大挑戰,是否具備足夠技術能力去偵測異常事件、證據保存
及日誌是否能被追溯至事件發生日,則考驗著管理者的能耐。
─稽核要點如下:
(一)是否訂有系統日誌或紀錄等保存程序?個人資料不一定都儲存在同一套系統或電腦
上,應確認是否有系統日誌保留之一致程序及方法。若有不同系統存在時,應檢視既定之保
留與設定程序。
(二)確認日誌或紀錄之權責管理與儲存方式。應檢視擁有個人資料之系統日誌是否已設定
事件稽核日誌。
(三)日誌或紀錄是否有建置備份機制或獨立專責管理人員,且定期審視稽核日誌。
(四)確認日誌或紀錄保留之時間。主要是因為損害賠償請求權,自請求權人知有損害及賠
償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。[2]第 30 條。
如果個人資料是儲存在資料庫,則應檢視日誌留存之組態設定,上述期間之日誌是否皆可以
讀取。考量系統可能發生組態設定錯誤、系統毀損或硬碟空間不足等問題,故應指派專人定
期審視或稽核日誌,以確認其可讀取性;而為維護事件稽核之獨立與不受誤用等,應檢視系
統管理者是否具備存取日誌之權限。
四、其他技術稽核事項
(一)是否使用網路個資掃描工具,以確認並未有個資外洩事宜?
(二)是否使用資料外洩防護控管(Data Loss Prevention)工具,限制或記錄個人資料讀
取、寫入、複製、刪除及列印等工作?
以上概述之技術稽核要點,仍應就組織之特有資訊環境及個人資料屬性進行調整,以達最佳
技術治理之績效。
參、結論
由於個人資料保護法公告後,尚需等待個資法施行細則的公布及行政院適用時程的發
布,導致有些組織想等待施行細則公布後才開始動作,以避免後續又得調整相關作法。現階
段組織可依據個資衝擊分析或風險評鑑結果,決定導入個資防護制度之先後與強度。
面對個人資料保護法之要求,例如損害賠償及訴訟問題,組織及其管理者應思考如何謹
慎處理及積極面對後續接踵而來的風險性。個人資料保護的認知訓練可以當作組織開始個人
資料保護的第一步,畢竟個人資料盤點可能是少數人的工作,再加上長久以來國內對個人資
料保護及隱私的概念相對較為薄弱,藉著介紹個人資料的防護認知概念及法規的要求,可以
降低日後組織發生違法之機率。
肆、參考文獻
[1]BS 10012:2009 [2]個人資料保護法
(作者現任財團法人資訊工業策進會與行政院國家資通安全會報技術服務中心組長)
辛苦一輩子?只剩下很差的記憶力 【梅林(台南市)】
老公三年前因病過世,辦完告別式,面對一大堆帳單,以及他生前因生意失敗留下來的債
務,我要跑法院辦拋棄繼承、撤銷假扣押,並辦理遺產申報、戶政單位除籍等瑣事,真是
心力交瘁。一陣忙亂後,總算平靜下來,我雖失去老公,但有兩個兒子,所以盼望兒子們
早日結婚,讓我在兒孫陪伴下安享天年。
上個月,小兒子說他在南部找不到工作,要到北部找工作而離家。這個月,大兒子因考慮
女朋友的工作地點較遠,於是搬出去跟女友住。
頓時,家中只剩我一個人,胡思亂想了好久,打電話給老大說:「你不可以把媽媽一個孤單
老人丟下,自己跑掉。」得到的答案卻是:「你哪算老?你要好好安排自己的生活,我們是
放你自由。」打電話跟老么訴苦,得到的答案是:「你可以依靠我們,但是不能依賴我們。」
這時我才大夢初醒,結婚以來,努力撐起的這個家,如今即將瓦解,從小辛苦拉拔大的孩
子已長大成人,紛紛要求獨立,不願意再做「媽寶」,我辛苦一輩子,到底剩下什麼?應該
剩下很差的記憶力吧!最好不記得自己的過去,或許更不該記得自己有幾個孩子。人在無
所求時,才能做真正的自己吧!
現代癡情父母?乞丐媽媽與富兒子
朋友阿春原是個朝九晚五的上班族,她擅於理財,擁有台北精華地段五間房子,銀行存款
豐厚。退休後,理應悠哉過日子,但她似乎永遠不嫌錢多,她苦讀考取華語執照後,到處
兼家教,比以前上班還忙,也把自己操得累兮兮。
「我胸口悶、膝蓋痛,遺傳性的地中海貧血讓我全身不舒服。」阿春臉色蒼白地跟我訴苦。
我建議她停掉家教,好好調養身子,她卻捨不得放棄這份額外收入。
阿春一個錢打二十四個結,頭髮對鏡自剪,像狗啃的;衣服寬鬆,一看就知道是幾十年前
輕鬆小品
的;一雙塑膠涼鞋穿四季,冬天腳冷就套上白襪。她看起來一點也不像富婆,倒像是需要
人濟助的落魄街友。
有一次,我們到餐廳吃簡餐,當服務生送上餐時,阿春馬上要求多加一碗飯,因為白米飯
是免費的。當我吃飽放下筷子時,她立即問:「妳還要吃嗎?」
我才一搖搖頭,她火速向服務生要塑膠袋,把我盤中的剩菜倒光,和她自己吃一半的菜飯
混在一起,然後靦腆地向我解釋:「是包回去給我先生吃啦!」
我吃驚的問:「可是,這是我吃剩的,不太好吧?」
「沒關係,反正他也不知道。」阿春若無其事地回答,我則吃驚得說不出話來。
節儉並不是壞事,但省得太過分時,可會讓人受不了。阿春的子女在成年之後,個個溜之
大吉,女兒大學畢業找到工作後,在外租屋,很少回家;兒子也在服兵役後,到東京遊學,
一去就是三年,吃香喝辣,連學日語都要請家教到租處一對一,至今沒拿過一張文憑,所
有花費全由老媽埋單。
「妳供養兒子住在全世界物價昂貴的東京,真捨得啊!母愛可真偉大喔!」我忍不住點醒
她,但她只是苦笑著。阿春自己節儉得像個丐婦,兒子卻揮霍得有如富公子,癡情父母果
然大有人在。 乞丐媽媽與富兒子這種人生樣態,在現今社會裡,恐怕為數不少吧?
讀以下兩則在社會現實中,時有所聞的故事時,請記得龍應台在背影裡的這一段話:
「所謂父母子女一場,只不過意謂著,你和他的緣份,就是今生今世不斷目送他的背影,
漸行漸遠。
你站在小路的這一端,看著他逐漸消失在小路轉彎的地方,而且,他用背影默默告訴你:
不必追。」
您必須學習放下,放下心中的不捨,放下那難以割捨的父母子女的愛,因為:
「你的孩子並不屬於您,他是人類生命延續的代表」
再多的孺慕親情,最後,終將塵封!就讓我們含著淚水,默默祝禱:
「孩子,帶著我滿滿的祝福,勇敢的去做你自己,不用回頭!」。
高雄高等行政法院政風室 關心您