個資法專欄／紙本文件個資防護疏失　學生個資遭外泄

圖、文／個資法專家敦化國中近日出了大紕漏，訓導處一名組長爲了參與訓輔聯席會議，列印出6、7份高關懷學生名單，回辦公室後一時疏忽忘了將名單銷燬，直接丟入廢紙回收箱，被一名不知情的老師拿給學生再利用，導致部分學生看到名單內容，該老師發現後連忙回收，但已被學生用手機拍下外傳；校方將開會討論懲處，同時向校內教職員加強宣導個資保護。

若將此案件中的老師爲公司老闆，而拍照外傳學生爲公司員工，外泄出去的個資是機密性較高的文件，事情還會是考量他非故意泄露且已獲得家長諒解，決以口頭告誡這麼簡單?第27條第1項「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或泄漏」；而如果不依這條的規定採行適當安全措施者，依第48條政府可以命限期改正，屆期未改正者，處新臺幣20,000元以上200,000元以下罰鍰。 個資法第29條第1項規定，如果企業「違反個資法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任」。在傳統的觀念中，公司違法，老闆首當其衝，與員工無關；但是個資法正式上路後，即使是員工的「個人行爲」，只要造成個資外泄，就必須讓整個機關來負責賠償，以每人每次泄露500元至20,000元不等，最高甚至可達2億元之譜；除非機關能「證明自己無過失」，才能免除如此沈重的賠償責任。而「個資管理人」也將連帶處以與公司同樣金額之「行政罰鍰」。

個資法實行的這幾個月來，不論是政府、學校、企業…泄露個資的意外始終層出不窮，有的公司還不只發生一次。如果依法處理，有多少家公司捱得起上面這種賠償金？我們又要如何防範這樣的個資外泄個資持續發生??

資安界專家翁浩正表示:『中小企業除了要加強『個資盤點』、『個資保護』、『稽覈管理記錄』、『個資教育訓練』，完整PDCA(規畫、執行、稽覈、改善)之外，建議可以再加強DLP/DRM(資料外泄防制系統)將文件設定權限並且加設金鑰做控管。如此一來，若是真的發生的個資外泄事件(不論是人爲或電腦駭客入侵)皆可以表示公司已採取了『適當之安全措施』並證明自己無過失。』