Embed Size (px)
Citation preview
www.fisc.com.tw 55
個資訴訟高峰將來到!企業的應對之道│資訊分享
個資訴訟高峰將來到! 企業的應對之道 曾韵∕勤業眾信聯合會計師事務所企業風險管理部門協理
一、前言
「個人資料保護法」(以下簡稱「個資法」)
已於 2012 年 10 月施行,以金融業而言,全臺
三十幾家銀行已有超過二十家建立個人資料管
理機制,其準備程度固然高,然而這樣就夠了
嗎?企業足以應對相關的風險嗎?
根據相關文獻指出,「個資法」施行後,
其高額賠償責任將對企業帶來重大衝擊;若以
鄰近國家日本為例,其於 2010 年上半年發生
之個資外洩十大事件中,雖未發生大規模外洩
情況,但是總共超過 500 萬人受影響,且損失
金額總計超過 1,215 億日元,民間與政府皆付
出慘痛代價。再從日本施行「個資法」後的統
計結果來看,請求損害賠償案件數量最高峰約
在施行後 2 年發生,而基於企業陸續導入個人
資料管理機制,以及接觸到較多案例累積應變
經驗的情況下,從第 3 年起相關案件數量才得
以逐年下降。
若我們比照鄰國日本的經驗,預估臺灣將
在 2014 年隨著個資訴訟案件的攀升,面臨相
關損害賠償數額的最高峰;然而,根據筆者任
職之勤業眾信聯合會計師事務所(以下簡稱勤
業眾信)導入超過 60 家企業的個資強化專案
經驗來看,目前各企業於數位鑑識領域的能
力,其準備程度遠遠不足以應付未來可能面臨
的風險。
二、企業面臨訴訟之困境
根據筆者協助客戶的經驗來看,企業在面
臨訴訟時常因數位證據之議題而遭遇困難,主
要問題分兩面向說明:
(一) 證據能力遭受質疑
某企業控告其員工違反商業會計法,並提
出日記帳、轉帳傳票的備份磁片,將其內容經
列印後以紙本提供法官,作為認定被告犯行的
證據。全案最終在最高法院審理時,被告提出
下列論點攻擊該等證據之證據能力:
1. 原告無法清楚說明該磁片內容是否依據
「商業使用電子方式處理會計資料辦法」
等主管機關之規定所製成。
2. 磁片是由何人以何種方式拷貝製作?原告
無法證明自蒐集到取得並存入磁片的過程
中未遭竄改。
由於被告抗辯表示原始日計帳與轉帳傳票
已不復存在,並對企業所提出的備份磁片檔案
之內容有所質疑;此外,法官亦認為該相關證
據缺乏證據能力,因此最終判原告敗訴,將原
判決發回更審。
從上述案例可知,數位證據的「易遭竄改
性」、「復原可能性」,使得企業在訴訟時,
56 財金資訊季刊∕No.76∕2013.10
資訊分享│個資訴訟高峰將來到!企業的應對之道
若未能充分掌握相關特性進行攻防,被告若針
對數位證據的證據能力提出質疑,而原告無法
確保數位證據之證據能力時,往往使原告成為
處於劣勢之一方。因此,許多企業漸漸對於數
位證據的蒐集過程愈加重視,期望在事件發生
時,可採取有效的措施,強化證據能力,使證
據得以被法院所採納。
(二) 證據之證明力不足
某家企業在經過長期就各系統軌跡資料的
調查後,終於鎖定外洩可能人員,並扣押其筆
記型電腦與 USB 外接硬碟進行分析,發現幾項
特點:
1. 相關系統的軌跡資料顯示,該名員工曾從
系統中下載客戶資料。
2. 從該名員工之 USB 外接硬碟將已刪除之
資料還原,發現其曾存放大量客戶名單,
且竄改副檔名而使其檔案可能被誤認為圖
片檔。
該企業調查人員依據上述資訊之推斷,認
為該名員工雖透過正常管道取得客戶資料,惟
卻違反公司規定,將資料存入個人的 USB 外接
硬碟,且試圖以竄改副檔名偽裝該檔案,應有
將資料外洩之意圖,乃對該名員工提起訴訟。
然,承審法官認為,相關證據至多可證明
該名員工違反公司規定,將檔案儲存至不妥適
之處,企業無法提出員工將資料外洩的違法證
據,因此認為證據不足而判企業敗訴。
從本案例可發現,企業若平時留存的證據
不足夠,事件發生時,往往無法有效將行為人
治罪,甚至可能連發生原因都無從調查。因此,
為因應個資之軌跡留存與外洩調查需求,筆者
在協助企業內部進行稽核軌跡留存相關研討
時,對於應留存多少稽核軌跡才能避免證據不
足之情形,亦有極多之討論。
一般來說,若企業進行較完整之系統稽核
軌跡留存,往往需要花費大量的金錢或時間才
能完成,這對企業來說無疑是重大負擔;如何
在風險與成本間取得平衡點,留存相對完整的
軌跡,對於企業來說是最困難的抉擇。
三、企業面對個資訴訟事件的應對
作法
前段係針對企業於訴訟時所遭遇之數位鑑
識相關議題進行探討;然而,企業面臨個資訴
訟案件時,卻常因情況不同而在訴訟策略及證
據準備上有所差異,為協助企業針對涉訟案件
採取有效訴訟策略,勤業眾信爰蒐集以往的個
資外洩相關訴訟判決案例,並進行分析與研
究,雖屬舊法時代之判決,但仍有其參考價值!
一般而言,當個資事件發生後,若民眾認
為是企業違反「個資法」,肇致個人權益受損
而向企業求償時,單純以「個資法」觀點觀之,
其請求權之基礎是「個資法」第 29 條第 1 項:
「非公務機關違反本法規定,致個人資料遭不
法蒐集、處理、利用或其他侵害當事人權利者,
負損害賠償責任。但能證明其無故意或過失
者,不在此限」。
勤業眾信針對條文進行深入研究,並佐以
相關判決實例進行歸納,發現企業若要主張免
於個資賠償責任,可從「無違反個資法」或「無
故意或過失」兩層面來切入,以下針對各層面
提出相關建議:
(一) 無違反個資法
即企業主張自己根本沒有違反個資法規
定。
判決案例的研究過程中發現,法院在判斷
企業的行為有無違反「個資法」規定時,若屬
法律適用上可能有疑義的情形時,基本上大多
www.fisc.com.tw 57
個資訴訟高峰將來到!企業的應對之道│資訊分享
尊重企業中央目的事業主管機關與法務部的意
見;因此,建議企業若於個資保護機制導入過
程中,遇有疑義事項時,應主動發文主管機關
或法務部,取得其對法律適用的解釋,以為依
歸。
(二) 無故意或過失
意指企業雖有違反「個資法」之情事並對
當事人造成侵害,但企業對該事件之發生並無
故意或過失。
筆者認為此主張對企業風險較高,企業如
擬說服法院其對個資侵害事件的發生無故意或
過失,若僅主張企業本身有相關制度的建置,
但無法提出落實執行的具體證據,恐怕是不夠
的。此外,在個資的呈現上,企業若無法提出
個資呈現最小化的證據(如定期清點個資欄位
的適當性),恐怕也不易說服法院。
四、因應之道
經過前述說明後,筆者就事件發生之前、
中、後,提出企業因應建議,以供參考。
圖 1 根據事件發生的各階段發展對應之機制
(一) 事前防控:留下軌跡並主動偵測預警
企業應於平時針對內部可能的風險進行衡
量,並規劃適當的軌跡留存機制,除前述筆者
所強調的電子紀錄外,建議企業應全面考量,
包含紙本與電子檔的相關軌跡紀錄,都應納入
規劃的範圍內。
以下就個資留存稽核軌跡為例,提出企業
可進行的方向:
1. 識別個資在哪裡
以勤業眾信的方法論觀之,個資保護的第
一步即為透過 BIF(Business Information
Framework)的系統化方式,協助企業辨識個
資自蒐集進入企業,至部門內部或系統上的留
存情況;因此透過此種方式,可協助企業瞭解
其業務運行過程中,哪些人、系統可能接觸個
資,始得進一步提供周全規劃在相關個資流動
58 財金資訊季刊∕No.76∕2013.10
資訊分享│個資訴訟高峰將來到!企業的應對之道
中所應留存軌跡之參考。
2. 留存哪些稽核軌跡
企業在留存軌跡上所遭遇的困難往往是成
本問題,除了須花費人力進行程式的修改、投
入金錢進行工具的採買,尚須考量留存巨量個
資的儲存空間與設備;因此,為有效利用資源,
企業在稽核軌跡留存與保護的決策上,應規劃
合理的排程順序。建議企業可透過流程所含個
資的重要性(如特種個資、高風險個資……
等),或從個資含量較多之處,優先規劃稽核
軌跡之留存機制。
3. 蒐集及管理相關稽核軌跡
依據筆者以往的經驗,多數企業未有效規
劃稽核軌跡留存;在有基本資安控管情況下,
針對作業系統與網路層面留存部分的登入登出
紀錄,聊備一格;僅有少數企業針對應用系統
進行適當的軌跡留存規劃;至於結合非結構化
的軌跡資料(如:email、通訊軟體等)的整體
考量更是少之又少。筆者建議企業應逐步擴大
稽核軌跡留存的種類,以便未來事故發生時,
得以較全面地進行調查。
4. 分析稽核軌跡與報告
部分企業早已完成全面稽核軌跡的佈署計
畫,但發現若花費人力物力將相關稽核軌跡進
行封存,只為「備不時之需」,其成本過高且
不符合投資效益;因此,為提升稽核軌跡之效
用,企業開始規劃將所留存的紀錄經適當的交
叉比對分析,期能進一步進行異常行為之偵測
與預警。
圖 2 事前留下足夠軌跡以進行偵測與預警
(二) 事中應變:依規劃之應變流程處理
企業應預先針對事發過程擬定相關應變計
畫,使企業能有效且立即應變與處理,相關重
點應包含以下項目:
1. 建立應變組織
企業應明確定義相關權責單位,當事件發
生時,人員能依其職務進行處理,並於適當時
機召開處理討論會議,且使會議決策能有效下
達至各單位,順利進行危機應變處理。
www.fisc.com.tw 59
個資訴訟高峰將來到!企業的應對之道│資訊分享
2. 規劃事件應變處理流程
應依據事前規劃的事件等級,由相關人員
進行通報與處理,並於事件結束後,適時召開
檢討會議,以記取相關教訓並徹底改善。
圖 3 個人資料檔案侵害事故之應變與處理流程應包含內容
(三) 事後調查:第一線人員的緊急處置與後
續調查
萬一事件持續至發生後期,企業於應變止
血,並對事件相關情況進行細部調查後,可能
進入訴訟階段時,唯有備妥良好規劃的數位鑑
識機制,才能有效協助企業在訴訟上的運作;
以下就幾個面向,提供企業規劃數位鑑識機制
參考:
1. 考量人員角色與職責,設計教育訓練
針對企業內部可能第一線接獲通報或發現
事件之人員,妥為教育該等人員於應變與處理
時,應留意其處理過程可能對證據的影響;此
外,針對實際執行證據蒐集之人員,亦應提供
對應的訓練,包括執行的程序、工具的操作方
式等,使其於事件發生時能妥適地因應與處理。
2. 擬定數位鑑識標準作業程序
由於目前國內尚未有公認的標準程序可參
採,因此建議參考國際間數位鑑識相關最佳實
作所提之作法,進行作業程序之規劃,使其符
合國際要求;在國內數位鑑識相關程序尚未標
準化前,國際作法將為法官最佳參考實例。
3. 建置數位鑑識分析環境
環境之建置端賴企業所能負擔之程度而
定,但若礙於成本考量,其實坊間也有不少免
費使用或價格低廉的工具可供參用。
60 財金資訊季刊∕No.76∕2013.10
資訊分享│個資訴訟高峰將來到!企業的應對之道
4. 規劃數位鑑識之演練機制
唯有在人員訓練足夠、程序完整、工具齊
備的情況下,機制始得發揮效用;因此,透過
一次次不同情境的演練,增加人員的應變實作
經驗與處理能力,是促使相關流程運作順暢的
最佳途徑。
圖 4 良好的數位鑑識規劃能有效協助企業訴訟過程
五、結語
「個資法」上路後,面對種種使民眾更容
易提起訴訟的設計與環境,企業應化被動為主
動,建置與落實整體性個人資料保護機制,適
時監控與偵測資料外洩的可能情況,才能在免
責主張中處於有利位置。
再者,預先進行訟訴策略擬定及適當的證
據留存,並且整體提升人員於事發時蒐集及保
全證據之能力,俾使企業有效掌握相關訟訴之
風險。
最後,若能有效利用企業內部各流程所留
存之稽核軌跡,於平時即進行監控與預警,將
使企業的風險降至最低,符合民眾對企業保護
個人資料責任之期望。
參考文獻∕資料來源:
1. 李相臣、葉奇鑫,淺談個人資料保護法民事賠償責任
及數位鑑識相關問題,司法新聲第 101 期,頁 33。
2. 錢世傑,圖解數位證據,2009 年。
