專家傳真-第三方風險 如果教育部是一家上市公司
我們可以苛責教育部嗎?
廣義而言這是一個數據管理不當的案例,數據可能遺失、被盜、被竄改,而個資(PII)是所有數據類型中最受到關注的,因爲連帶引發個人信用被濫用、個資曝光等問題。
依據《個人資料保護法》姓名、出生年月日、身分證統一編號、護照號碼、病歷、健檢、犯罪前科、財務情況皆屬個資保護範圍,毫無疑問「個人學習歷程」應該是受到《個資法》規範的。
此案與一般網路攻擊引發的資安事件有二大不同。
一、內憂比外患可怕,資安防護經常假想來自外部的攻擊,但實際案例證明「壞蛋與天兵」更是關鍵,前者是懷有惡意的現任或離職員工,後者是指粗心大意或風險意識較低的員工。
二、涉及與第三方及供應鏈合作與管理的議題。
本事件中第三方就是暨南大學,本身也是公務機關,依個資法第31條就算教育部向暨南大學求償,仍是由全民買單。
上市公司如何避免發生類似的事件?尤其涉及第三方合約,風險長、首席法律顧問與法遵長應該發揮什麼樣的功能?以下六點可供參考:1、由自身維護或合作伙伴和其他第三方持有的數據適用哪些法律規範?並且瞭解這些法規要求的安全措施跟保護機制,有哪些受管制的數據,其存在的位置與格式。
2、是否評估因PII保護不當被股東、投資人控告的可能性?相關法令要求採取合理或適當的措施來保護PII,但沒有提供更具體明確的要求,使得公司易遭到股東以管理不當爲由提出控訴,忽略集體訴訟或合併多起賠償個案的可能性。
3、與供應商、合作伙伴的合約中是否保護了公司本身?並且是否定期檢視合約?
4、與供應商、合作伙伴之間是否有管制風險?例如實施供應商風險計劃或是第三方風險管理(Third Party Risk Management, TPRM),TPRM是一套監督與管理風險的標準流程,適用在公司與主要合作伙伴及供應商之間。美國國家技術與標準局(NIST)則提出網絡供應鏈風險管理(Cyber Supply-Chain Risk Management, C-SCRM)。
5、是否有定期審查與更新穩私保護政策?涵蓋對客戶免責聲明之流程。重點在於訂定各項符合法規的標準與流程,並且確實遵守與定期的檢視並確實留下相關紀錄,乃至作必要之揭露。
6、資安保險相關評估與作業
在西方企業界資安保險已成爲網路時代的標準配備,即使執行完善的風險緩解措施仍然不可能免除剩餘財務損失,藉由資安保險可轉移剩餘風險,在此僅出列出與PII毀損與滅失有關的損失或額外支出,例如:數位鑑識、資料修護、危機處理、法規法令要求、抗辯費用及和解金或賠償金,但要注意在臺灣,監理機構的鉅額罰金是屬於除外不保項目。
公部門需設法律顧問
至於投保保額則是需要財務長與CEO共同確認的,因爲最終淨財務風險將反映在公司的財報上。
雖然各級機關都宣稱依法行政,但當今法規環境複雜多變,即使上市公司也不敢保證理解一切法令規定,況且公家機關沒有首席法律顧問、法遵長、風險長,投入人力與預算皆不足,只能說教育部或其他公務部門發生類似事件只是早晚的問題。