銀行個資 資產變負債﹖

作者: 蔡淑芬 | 中時電子報 – 2012年7月31日 上午5:30

工商時報【蔡淑芬】

個資法新法實施,首當其衝且影響最巨的機構當屬金融服務業與公務機關,尤其,過去被金融服務業視為重要資產的個資,已從資產變成了負債。

根據《個資法新法》第一章第二條第一項,個人資料指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別個人之資料。從以上對個資的定義,金融機構一旦發生外洩情事,其所擔負的民事賠償與行政責任將是會最大。

統計日本在2010年上半年十大個資外洩事件中,金融業佔據了6件。根據金融監理機關的觀察,針對個資法實施議題,現階段的金融機構面臨了時程壓力、歸類為IT議題及無法確認法令遵循度,同時在進行盤點個人資料與角色權責與存取權限也不明確。

其次,針對41家金融機構的詢問調查中,已成立個資保護推動小組且啟動的機構不到一半,顯示金融機構面臨即將實施個資法新法有其時間上之準備壓力,其次,就金融機構主管在推動個資保護時,認為這項議題是屬IT部門責任,希望用工具解決個資保護的問題,但它可能只做到保護到點的個資,線和面的個資保護就可能因為沒想到、疏忽,而未能做到善良保管人之責。

新版《個人資料保護法》採「可歸責性」(Accountability),事業單位要負舉證責任,金融機構是否有能力提出數位證據與鑑識證據力,這關係到未來面臨個資保護上之風險管控能力。對金融業者另一項棘手問題在於許多委外業務上,這些委外單位運用個資時,該如何加控管理,若委外單位發生洩露之情況,責任歸屬之問題。

中華軟協建議金融機構可以朝下列五步驟執行個資保護策略:步驟一 :資安策略擬定。步驟二:資安管理架構建立並標準化。步驟三:角色責任及風險評鑑。步驟四:危機處理與SOP程序。步驟五:研擬事故發生回應。至於要如何強化數位鑑識與證據能力,建議金融機構應建立個人資料管理制度,具備保存「證據能力」相關紀錄,以作為無故意與無過失之重要證據,以為善良管理義務證據。另外,要能夠培養數位鑑識與犯罪舞弊管理能量,留存完整證據紀錄、採證過程應符合蒐證程序,以完備「證據能力」程序及「證據力(證明力)」紀錄,以作為提報「無故意或過失之責」證據。

中華軟協理事長劉瑞隆也認為,雖然金融業是特殊行業,在個資保護工作上比起其它行業早,卻缺乏整體性,面對新法法令,似乎不太夠,透過中華軟協這次策辦「個人資料保護研討/展示會」的機會,讓金融業者可以好好檢視各自個資保護狀況,以因應未來之挑戰。

……..文章來源:按這裡