在銀行櫃臺服務的小美,有天遇上了一位藝人來開戶。小美遇上明星覺得很稀奇,偷偷把該客戶的姓名、電話、住址等資料拍下來,還在社群媒體上講了這段故事。結果客戶十分不滿,向金管會申訴。金管會介入調查後,認為小美洩漏了客戶個資,嚴重違反個資法和銀行內部控管規定。銀行可能面臨最嚴重會面臨 1500 萬元的罰鍰,小美會最高可能會面臨 5 年以下有期徒刑。
稍有不慎就會違反《個資法》,企業須強化保護個資的觀念
小美的案例並不罕見,許多公司即使一再宣導個資保護觀念,卻時常有員工認為「沒那麼嚴重」而外洩。因此,最好以日常業務中的資料傳遞為實例,讓員工將個資保護觀念落實到工作中。比方說,不同部門間資料的傳遞、資訊的交換,都可能發生客戶個資被交給不具業務必要性的人員,進而引發資安風險。
像是人資部門進行新進員工培訓時,為展示真實運作狀況,誤將包含客戶姓名、電話、地址、購買紀錄等完整資料作為範例提供給培訓參與者,這些人員與該資料與培訓無關。如此一來,不僅可能導致資料被不當使用,還會使企業承受資安與法律風險。這會讓員工了解到,工作的每一個環節,都要維持內部資料的傳輸安全及存取權限管理。
法規上,《個人資料保護法》(簡稱個資法)規定,企業應採行適當的個資保護措施,針對金融、數位產業和零售業等數位經濟,還制定「個人資料檔案安全維護管理辦法」,規定資本額 1000 萬元以上新台幣,或保有個資筆數超過 5000 筆以上的公司,訂定安全維護計畫後,應該每 12 個月實施及檢討改善一次,顯見政府對此的重視。
其次,《個資法》也建立明確的原則,像是「蒐集目的特定化」以及「特定目的使用」。也就是說,企業取得他人個資,只能在特定目的範圍使用。例如消費者向電商平台購買商品,平台可要求填寫姓名、電話、地址等個人資訊,用於完成配送服務,但醫療紀錄等不必要的資料,則不能蒐集。電商平台更不能將消費者的地址及個資隨意用於廣告,甚至授權轉讓他人來做使用。
員工有資安觀念還不夠,防火牆等設備也要具有效性
之所以一再呼籲公司重視個資保護,是因為法院已有許多判例。例如知名客運沒有做好資安管理,導致一名消費者在網路訂票後,因個資遭外洩接到詐騙電話,被騙了 8 萬多元,因而對客運請求損害賠償。法院認為客運使用舊款防火牆,未更新資安設備,屬未盡個資保護義務,因此構成過失,判決客運公司應賠償新台幣 5 萬 7593 元。
由此可知,企業做好資安培訓、建立防火牆等基礎設施還不夠,必須確保防護措施的有效性,並定時更新,才能避免法律風險。根據《個資法》,企業沒有依法辦理制定個資保護措施或是個人資料檔案安全維護計畫,罰款金額可從新台幣 2 萬元起跳,最高達到 200 萬元。經限期改正而未改正者,還會按次處罰 15 萬至 1500 萬元。更何況,罰款事小,一旦資安沒做好,影響客戶和消費者的信任,影響企業形象,才是更大的傷害。
總的來說,當資安成為企業的基本功,最好仔細梳理工作流程中的每個環節,全面盤點產品及服務所需使用的客戶個資,藉此確認蒐集的必要範圍,避免不當或過度蒐集。客戶個資在業務辦理過程中的利用方式,也必須符合蒐集目的。更要將個資予以分級,給予不同的保護。
透過明確界定員工對於客戶個資取得權限及使用範圍,並依據《個資法》的要求,涵蓋蒐集限制、利用限制、安全保護、保存期限、當事人參與及責任等核心原則,讓員工充分理解公司對資料保護的重視與合法性。定期更新及檢視相關資訊設備和網路安全措施,才能強化資安體質。
