100.5.28 陳泉錫
綱要
一、緒論
二、個資法修正重點
三、個資法施行後對公務部門之衝擊
四、我國政府與民間資訊委外暨人力配置之比較
五、個資管理權責單位之國內外立法例比較
六、降低政府個資防護風險之對策
七、結論
摘要
個人資料保護法預計於本(100)年底前正式施行,新法對於個人資料之蒐集、處理、利用訂有嚴格規範,並課以較現行法高出十倍之高額個資外洩罰款,對於政府機關及民間企業皆形成嚴峻之壓力。本文探討新頒個人資料保護法修正之重點及對公務部門可能造成之衝擊,並比較我國與英國、德國等歐美國家個資保護法規立法觀點之差異。本文另就擔負政府機關個資保護主要責任之資訊部門的人力配置與委外情形與民間企業做一比較,期有助於風險之分析與對策之研擬。
一、緒論
個人資料保護法於民國99年5月三讀通過,施行細則刻正由法務部邀集相關部會及民間團體密集研討訂定中,預計於本(100)年底前正式施行。個人資料保護法的前身:電腦處理個人資料保護法,其實在民國88年即已頒布施行,迄今仍為現行有效的法律。但是,為何個人資料保護法的頒布受到政府各部門及民間企業如此的重視與擔憂?其主要原因在於新法的涵蓋範圍、資料收集、處理、利用的方式、資料洩漏通知義務等規範皆遠較現行法來得嚴格,且罰則沉重,自然受到大家普遍的關注。
個人資料保護屬隱私權的一環,而隱私之保護乃現今民主社會之普世價值,以立法手段加以嚴謹保護,當屬必要。但是個資法施行之問題核心在於履行法定義務之難度。現今個人資料處理與利用之型態有別於以往,多數以資訊科技處理,大量儲存於磁碟、光碟等媒體,並透過網路傳遞。由於電子媒體輕薄短小,載量鉅大,管理與防護十分困難,另網際網陷阱處處,駭客木馬攻擊手法日新月異,已非付出一般注意即可有效防範。此為各界之所以普遍憂心之處。
政府機關乃是保有最大量個資之處所,資料收集責任固然多數在業務部門且以紙本形式蒐集為主,偶有資料遺漏,數量不至於太大,風險尚可管控,但是資料的處理與應用主要場域則在資訊部門,所處理與管理個資數量龐大、集中,乃駭客、木馬覬覦之所在,資訊安全風險極高,非有專責管理團隊,執行緊密監控,難收其效。
我國政府資訊化作業肇始於民國五十年代,由台糖、中油、台電等國營事業率先引進電腦進行業務自動化作業,其後又有李國鼎資政主持行政院資訊推動小組帶動我國政府業務自動化的先河,資訊科技在政府部門之應用在民國七十年代亞洲四小龍中我國居領先地位,足見早年持政先賢,高瞻遠矚。當時設立之資訊部門皆有一定之規模,以財稅資料中心為例,員額達六百人,扣除資料登錄人員不計,技術人員亦近三百人,角色分工明確,部門間制衡機制嚴謹,使大量資料管理,資安機制之落實得以有效實踐。惟自民國八十七年起,政府大力推動資訊委外政策,頒布“行政院所屬各機關資訊業務委外作業實施辦法”(行政院八十七年四月八日(87)台經字第一四六八七號令),規定各政府機關重大新興資訊業務及設備汰舊換新者,以採資訊業務整體委外作業為原則。此政策頒行後,政府資訊部門(或單位)之設置受到極大的限制,資訊人員數量亦逐年遞減。但整體委外實施成效在90年代晚期的檢討,Ralph H. Sprague等多數學者(Robert Klepper,Wendell Jones,1998)皆認為風險太高,容易失去機關的核心能力與主控性,而採保留之看法。
資訊安全在民國八十年初期尚未受到政府各界普遍的重視,資訊委外所生之個資管理風險亦未受到應有之注意。然時至今日,情境全然不同。駭客手法高明,甚至以網軍作戰型態進行計劃性、持續性攻擊,政府機關在高度仰仗委外廠商,無適足資訊組織與技術人力之情境下,如何面對個資保護之威脅,令人憂心。本文試就新頒個人資料保護法修正之重點及對公務部門可能造成之衝擊加以探討,並比較我國與英國、德國等歐美國家個資保護法規立法觀點之差異。
二、個資法修正重點
新頒個資法較之現行之電腦處理個人資料保護法有如下之修正要項(法務部法律事務司,2009),摘述如下:
(一)、擴大保護客體
現行電腦處理個人資料保護法保護之資料僅限於經電腦處理(數位化)之個人資料,為避免遺漏,此次修法將非經電腦處理之個人資料(即人工資料)一併納入保護,法律名稱亦配合修正為「個人資料保護法」。(§2第2款)
(二)、普遍適用於各領域,不受限制行業限制
為貫徹保護個人資料之立法意旨,本次修正刪除適用主體之限制,亦即任何行業、團體及個人,均將納入適用個資法之範疇。但自然人為單純個人或家庭活動之目的者,不適用本法。 (§2第8款、第50條)
(三)、增訂醫療、基因、性生活、健康檢查及犯罪前科等5種個人資料為特種資料,應特別保護。非有法“律”明文,執行法定職務且有適當安全措施,或當事人自行公開者,不得收集、處理、利用。為統計或學術研究而有必要,且經一定程序得為蒐集、處理或利用之。但本款之程序、範圍須由中央目的事業主管機關會同法務部定之。違反本條規定者不但有民事賠償責任,更將受到刑法之追訴。§6
(四)、不論直接或間接蒐集個人資料,均有告知當事人之義務。§8、§9
(五)、資料外洩或被竊取時,資料持有者應以適當方式通知當事人。§12
(六)、公務機關特定目的外利用之條件變更(§16):
公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
1.法“律”明文規定。(本款現行法規定為:法“令”明文規定)
5.公務機關或學術研究機構基於公共利益為統計或學術研究而有必要且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當人。(本款後段為新增規範,較先前之統計應用要求為嚴格)
(七)、鼓勵民間公益團體能參與
為方便被害民眾行使本法規定之損害賠償請求 ,本法修正草案特規定符合一定要件之財團法人或公益社團法人,得代替當事人提起團體訴訟,以節省勞費並保護民眾權益。 §32-39
(八)、調整民事、刑事與行政罰責任內涵
1.民事責任:關於同一原因事實行為,提高民事損害賠償總額之限制。(註:單一事件民事損害賠償總額為二億元,係現行法之十倍。且若當事人能證明損失高於二億則不在此限) §28
2.刑事責任:增訂非意圖營利違反本法行為者,得科處二年以下有期徒刑(告訴乃論);提高意圖營利違反本法行為者之刑責為五年以下有期徒刑(非告訴乃論)。 §40、§44
(九)、新增業務檢查權責
中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護或其他例行性業務檢查而認有必要或認為有違反本法規定之虞時,得派員進行檢查,目的事業主管機關或直轄市、縣(市)政府檢查時,得率同資訊、電信或法律等專業人員共同為之。§22
三、個資法施行後對公務部門之衝擊
上節所提9項修訂重點中,有數項須公務部門特別加以留意,闡述如下:
本次個人資料保護法修訂影響最大者首為該法第12條之規定:“個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人”。個資因駭客攻擊、管理疏忽或委外廠商不慎,造成外洩者時有所聞,舉其大者前有97年8月警政署刑事局破獲近年來規模最大的個資外洩事件,包括健保局、教育部等公家單位以及多家電信公司、購物平台的個資,高達五千萬筆資料遭竊。駭客將蒐集來的資料建置成資料庫網站(IThome,2008)收費提供利用,今年又有美國HONDA汽車公司因資訊業務委外,洩漏490萬筆客戶資料(資安人,2011)等大量個資外洩資事件。以往當事人多數不清楚自己個資遭外洩,即使知道,求償所需之高額訴訟費用亦讓當事人怯步。但本次修法後,資料外洩之機關負有主動告知當事人之義務,實質之意義則等同於請當事人來求償。另在減輕民眾訴訟負擔方面,新頒個資法亦訂有配套。新法第32 -39條設計有團體訴訟之機制,鼓勵符合要件之財團法人或公益社團法人,得代替當事人提起團體訴訟,以節省勞費並保護民眾權益。 此一主動告知當事人之規定已使資料外洩機關負荷沉重,而團體訴訟機制使民事賠償幾乎無可避免。資料保管機關之壓力之沉重應可想見。民事賠償固然可由國家賠償基金先行支付,但回頭將追究公務人員有無故意或過失。故意應是不會,但就有無過失部分,以目前政治氛圍及監察機關之嚴謹尺度,恐難免責。
次就本次修法對於同一個資外洩事件,提高民事損害賠償總額限制部分加以討論。新頒個資法第28條對於單一事件民事損害賠償總額由現行法之二千萬提高為為二億元,係現行法之十倍。且若當事人能證明損失高於二億則不受此限。此一金額可能讓發生個資外洩之中小企業因此倒閉,公務人員傾家蕩產。因此個資法第18條規定公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,但此專人所指究竟為何?似未見客觀、充分的探究,惟大家避之猶恐不及。新法提高罰則以彰顯我國對於個資保護資重視,固有其高義,但履行此一義務所需配套之資源與組織,新法中並未顧及。對照美國“隱私及個資保護法”(Model Privacy and Data Security Bill)立法例,該法對於單一事件處法罰金上限為200萬美元(Section 10. Enforcement Violation )約6000萬台幣,僅有在明知且故意之情形下方可提高罰金至三倍。學法律的人多知道,要舉證當事人為明知且故意,其成立的可能極低。因此,即使在美國實質罰金僅台灣三分之一弱,我國是否陳義過高值得探究。
再就新法對於資料收集、處理、利用之特別規定加以說明。醫療、基因、性生活、健康檢查及犯罪前科等5種特種個資以不得收集為原則,除非是法律明文的法定職務行為且有適當安全措施方得為之。適當安全防護措施為合法收集處理利用該類個資之前提,否則將面臨刑法追訴。統計或學術研究之使用規定遠較現行法為嚴格,須由中央目的事業主管機關會同法務部定訂使用辦法以規範程序與範圍,方得利用,不得不慎。目前學術機關向公務部門索取資料進行研究或政府機關委託學術機關研究之情形甚為平常,未來在審查之嚴謹度及資料管控之程序皆須定有明文並嚴格執行。
末就個資法第22條賦於中央目的事業主管機關與縣市政府之個資安全業務檢查職權加以探討。中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護或例行性業務檢查或認為有違反本法規定之虞時,得率同資訊、電信或法律等專業人員共同進行檢查。個資安全檢查看似賦於個資監管機關較大之節制職權,實則是惡夢之始。日前台中市傑克丹尼ALA PUB夜店大火釀成九死十二傷的悲劇,其消防設施方通過市府消防安檢,悲劇仍然發生。台中市府副市長因此下台並究責多人,殷鑑在前。我國消防機構組織完整且消防安檢機制行之有年,尚且難以周全,以目前政府機關薄弱的資訊人力資源,未來如何主責或配合執行目的事業的資訊安全檢查,並發揮實質效果?其風險可以預期。
四、我國政府與民間資訊委外暨人力配置之比較
上節所舉四項個資法施行之衝擊與政府資訊組織及委外政策間,具有密切關聯。我國政府部門在委外政策推行多年後,政府部門資訊人員之角色漸由技術人員演變為資訊採購行政人員,技術能力與系統主控性逐漸消失。民間企業雖然也進行資訊委外但程度與目的並不相同。為比較政府機關與民企業在資訊委外之依賴度,作者應用主計處98年電腦應用概況報告加以整理、分析如表一及表二。
統計資料淺析:表一「98年度我國政府及民營企業資訊經費及人力支用概況表」的(一)至(四)欄資料(資訊經費總支出、員工數、PC台數、資訊人員數),皆分別摘取自主計處99年9月概況報告的統計表中,第(五)至(七)欄則為作者由上述4欄資料的整理分析。
由表一第(五)欄每部PC年平均資訊經費及第6欄的資訊人力比來看,民營企業每年花在每部PC上的費用為47,233元,每100部PC有2.45個自有的資訊人力。反觀政府機關,每部PC每年平均費用為48,067元,支出與民間企業相近,但每100部PC的自有資訊人力,則僅為1.49個,只有民間的二分之一強,再以表二分析之,民營企業委外經費佔總經費支出比率為12.82%,而政府機關委外經費佔總資訊經費高達34.66%,亦即政府對委外的倚重度約為民間的3倍。政府機關乃是擁有最多個資之機關,理應配置有較合理之資訊人力以管理個資,但為何反較民間企業為少?講求成本效益乃是民間企業經營的不二法則,如委外確能節省經費,又能確保個資安全,民間必然趨之若鶩,可是由表一數據顯示,民間企業在自有資訊人力的投入上則顯然較政府部門大方,其原因何在?乃風險與主控性考量(Robert Klepper,Wendell Jones,1998)。
馬偉明(成功大學,2003) 研究我國政府這幾年推動「政府組織精簡」及「資訊委外」等政策對公務機關資訊從業人員的生涯規劃之影響,其研究結果發現資訊人員若感受的生涯階段為探索或建立階段,其仍傾向留於資訊部門從事技術面或管理面的職務;若感受為撤離階段或資深的員工,則傾向離開公務機關。Debbie Tesch, Timothy J Kloppenborg, Mark N Frolick 的研究發現: IT專案委外若缺乏適足之自有IT技術人員或缺乏對業務領域深入之人員或過度使用外部顧問將導致專案之風險,其中最主要之風險為專案缺少足夠具有適當技術之自有資訊人員。資訊委外造成政府機關資訊人員對系統主控性逐步降低更形成了嚴重的潛在資安風險(Debbie Tesch,et,al.2007),民國98年元月3日桃園中正機場資訊系統當機36小時,造成8名限制入出境人員逃脫即是一個殷鑑(中國時報羅暐智2009)。
五、管理個資權責單位之國內外立法比較
我國個資法立法旨趣著重在行為規範、責任交賦及民刑事處罰,較忽略執行個資法所須配置之人力(組織) 、職掌與資源。我國個資法第18條雖有規定:“公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏”。但此專人究應由何單位負責?究須何種專業能力?須多少人力方可有效履行職務?本法中並未明定,多數機關的聲音希望能在施行細則中明定。但此一角色責任深重,似非單一個人得以獨力完成。施行細則研討會議之初步共識認係以團隊運作為宜,但宜由何部門主導? 應如何分工與課責?尚無定論。未來施行細則若未能具體規定,本法第18條之專人規定恐成具文。
相對於我國個資法對於執行個資保護工作所需配套資源之忽略,德國個人資料保護法則有相當周詳明確之規範。其在§4f(個資保護監察人), §4g(個資保護監察人之職責)兩條共食摘述如下(德國聯邦法律公報,2003):
- 德國個資法規定政府或民間機構若收集個資之人數達20人以上必須設置個資保護監察人。§4f.(1)
- 個資保護監察人之任命資格須依具備執行任務所需專業,併信用可靠為限。其專業程度依負責資料處理之範圍及資料應受保護程度決定之,並得設置輔佐人。§4f.(2)
- 個資保護監察人直屬於公務或非公務機關首長,其於資料保護監察之範圍執行職務時,不受其他指揮監督。§4f.(3)
- 為維持個資保護監察人之專業能力,機關應安排進修、訓練。
- 公務及非公務機關應協助個資保護監察人履行職務,在其職務必要範圍內,輔以人員、處所、設備、資源供其應用。§4f.(5)
- 用以處理個人資料之程式,應確保其運用符合法令規定。任何處理個人資料之規畫,須知會個資保護監察人。§4g.(1).本款規定之詳盡與務實,令人印象深刻!
德國個資法除各機關須依規定設置個資保護監察人外,該國個資法第22-26條另規定須設置“聯邦個資保護與資訊自由監察人”,督導全國個資保護事宜。該職務係專責,連適用之薪資、等第皆於法中明定(§23)。聯邦個資保護與資訊自由監察人由聯邦政府提名經國會(眾議院)同意而任命,五年一任,得連任一次,位階略同於我國政務委員。足見德國對個資保護之重視,及立法之周延。該國法律在課與行政部門責任之同時,也賦予執行職務所需之配套資源與職權。此一作法深值我國立法與行政部門參考與省思。
再以英國個資保護國家標準BS10012(Personal Information Management System,PIMS) 加以比較之。PIMS 最重要的第4章,開宗明義即要求要個資保護之執行須先任命經理人以負督導之責,並須設置日常維運個資保護之專責人員。再以此團隊去執行PIMS個資保護國家標準之多項規定,以期能落實。此一英國國家標準指出之重點在於:專責人員乃是個資保護之基石。
我國即將於101年施行的組織改造政策規定,政府資訊單位除部會層級機關外,三、四級機關以不設為原則。相當程度限縮公務機關資訊部門與員額設置之空間,對於資訊安全防護以及個資法之落實,影響不可謂不大。此一政策方向與英國個人隱私管理國家標準大相勁庭,亦與我國訂定個資法主要參考之外國法規之一:德國個人資料保護法之立法觀點有間。個資保護責任固非必然以資訊部門為主責單位,但顯然與資訊業務有緊密關聯,德國個資法可供參照。政府機關在無資訊部門或資訊部門資源明顯不足之情境下,未來如何面對上述之衝擊,甚值深思。
六、降低政府個資防護風險之對策
面對上揭個資法施行後之風險與政府資訊部門人力與能力不足問題,作者雖無速效良方(no silver bullet),但仍試提三項對策芻議供決策部門參考:
(一)、成立國家電腦局,建構維運政府基礎架構雲(IaaS),及提供部分共用性服務(PaaS,SaaS):
由於政府各機關除少數組織較為健全(如財稅中心,警政署等)之資訊部門外多數機關資訊人力嚴重不足,處理日常系統開發、維運業務已感到吃力,實難要求各機關個別培植專業資安人力以應付常業型駭客或網軍型態之攻擊。若能參考新加坡電腦局之型態,成立國家級大型資訊部門,在整體網路頻寬充足、可靠之前提下,由專業技術人力與資安團隊合作建立並維運一個各政府資訊業務共用之基礎架構雲(IaaS),並提供部分平台服務及應用服務 (PaaS,及SaaS如電子郵件服務),各部會資訊部門則專注於機關內之業務創新,流程合理化,應用系統開發維運、程式安全檢測及機關內使者及廠商等資安監督管理。如此可使人力不足問題獲得部分之舒緩,使資訊人力生產力(效益)提升。惟此一作法須重新調整部會間資訊部門之組織與分工,但對於個資安全之防護意義深遠。
(二)、修正委外政策,核心業務宜自行發展,其他委外。
桃園中正機場資訊系統當機事件,HONDA美國廠個資外洩事件及大量國內外委外效益研究報告在在顯示過度資訊委外之風險。資訊委外係資訊發展策略之一,適度運用可提高系統開發效率並可引進廠商新技術,但委外不能過度而失去主控性。Robert Klepper及 Wendell Jones在其OUTSOURCING”(1998)一書中即呼籲:“切勿將全部系統委外,將核心業務自行開發,其餘才委外”。個資法施行在即,資訊部門應找回技術自信,逐步掌握系統主控性,避免只以採購行政工作為主。
(三)、建立政府資訊部門資訊人力設置基準(IT Staffs Baseline)
個人資料之保護,善用資訊科技固屬必要,但資訊科技終有其極限,最後之主控者仍須靠人。對於人的管理,在鉅量資料的管理與應用上,就需要使用最根本的制衡與監督機制,而制衡與監督機制的建立就需要有合度之組織與人力方能施行,否則難以成就。我國除了少數早期成立之資訊部門外,多數政府部門資訊人力因委外政策而大幅限縮,平均資訊人力比率低於百分之1.5,無法有效施行分工、制衡機制,以致過度仰仗委外廠商,漸失自主能力,其資訊安全風險令人憂心。多數大型公民營企業資訊部門,基於安全、核心競爭能力之考量,迄今皆仍維持其必要之安全運轉規模,但公務部門目前仍欠缺客觀之人訊人力設置基準。且部會或機關間資訊人力因設置時點之不同差異甚大,似可經由組改作一合情調整。
七、結論
依據行政院國家資通全會報技術服務中心於99.7.16 所提出“政府資通安全檢測評鑑機制規劃報告”顯示16個通過ISO27001驗證的機關,經國家資通安全會報技服中心檢測,11個網站可取得主控權或資料。而通過ISO27001的機關皆為政府重要核心機關,此結果顯示政府部門雖在資安管理面之符合度(Compliance)式達到水平的而取得ISO之認證,但是在技術防護能力則明顯不足,深值憂心。個資法施行在即,該法課予個資保護機關極大的管理與資料洩漏責任,但並未就執行法令所需之組織與資源加以考量,建議政府權責機關參考德國立法例,盡速調整補救,以降低政府個資維護資風險。
參考文獻
- 馬偉民,「公務機關資訊從業人員生涯規劃影響因素之研究」,國立成功大學工學院工程管理專班碩士論文,民國92年
- 德國聯邦法律公報,卷1,p.2814, Jan.2003
- 中國時報羅暐智、高興宇2009-01-11
- 法務部保護司,100年度公務機關辦理個人資料保護業務公開作業研習會講義資料 http://www.moj.gov.tw/ct.asp?xItem=229254&ctNode=28007&mp=001
- Benjamin B.M. Shao, Julie Smith David, 2007. “The impact of offshore outsourcing on IT worker in developed countries” Communication of the ACM, Vol.50, NO.2, p.89,
- Debbie Tesch & Timothy J Kloppenborg & Mark N Frolick,〝IT PROJECT RISK FACTORS: THE PROJECT MANAGEMENT PROFESSIONALS PERSPECTIVE〞,The Journal of Computer Information Systems. Stillwater: Summer 2007. Vol. 47, Iss. 4; p61-p69
- Executive Yan, 2009. “Statistics of IT Spending, Public Sector v.s Private Sector, Survey of IT spending in Taiwan Area of Year 2007”, Executive Yan, Sep.
- IThome,2008. Available at http://www.ithome.com.tw/itadm/article.php?c=48572
- Robert Klepper,Wendell Jones, 1998. “Outsourcing Information Technology, System & Services” , p.79, Prentice Hall
- McFarlan & McKenny, 1992. “Corporate Information Systems Management: Text and Case” P.48, IRWIN Sydney, 3rd Edition
- Wei-zei Lo, 2009.China Times, A1, Jan.11
- William R. King, 2007. “The IS Organization of the Future: Impacts of Global Sourcing” Information Systems Management. Boston: Spring Vol. 24, Iss. 2; pg. 121, 7 pgs
