保護個資從小地方做起
壹、前言
去(2010)年9月,高雄縣某治安機關一名組長私自將線民資料存到隨身碟後用私人電腦使用該檔案,卻因電腦裡有使用FOXY,造成線民資料外洩;10月間也傳出社交網站「臉書」上許多受歡迎的應用程式可能會將用戶的資料分享出去,造成個人資料外洩;12月玉山銀行辦理網路銀行業務時,因未落實資安管理導致客戶資料外洩;同月臺灣銀行也傳出舊票據、存摺外洩,引發公司行號的恐慌,擔心印鑑可能會被盜刻。
媒體上不時播報著個人資料外洩的新聞,究竟什麼是個人資料呢?在現今資訊發達的社會,我們又該如何保護自己的個人資料不外洩呢?
貳、個人資料保護法(原:電腦處理個人資料保護法)
隨著電子商務的發展,越來越多人透過上網或是電視購物來購買商品。因「網路商場購物」或「電視購物」的客戶資料外洩所造成的詐騙案例有逐漸增加的趨勢,因此法務部極力推動個人資料保護法(以下簡稱個資法)的修法,在去(2010)年5月甫三讀通過的個資法主要修法內容如下:
一、擴大保護個體
在個人資料的定義部分,將原先「其他足以識別該個人之資料」,修正為「其他得以直接或間接方式識別該個人之資料」,並新增護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等列為受個資法保護之項目,並且在第6條裡明文規定,有關醫療、基因、性生活、健康檢查、犯罪前科之個人資料,除符合法定要件外,不得搜集、處理或利用。
除此之外,舊法裡原訂只有電腦處理個人資料會受到個資法保護,新通過的個資法則擴大保護範圍,無論是電腦數位資料、紙本個人資料,且即使資料筆數只有一筆,一樣都會受到個資法的保護。
二、擴大適用對象
個資法裡對適用對象分成兩類:公務機關及非公務機關。舊法裡非公務機關包含了下列八大行業:徵信業以及搜集或電腦處理個人資料為主要業務之團體或個人、醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業,及其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。
新修正的個資法則將非公務機關定為公務機關以外的自然人、法人或其他團體,有別於舊法所指定的行業,將適用對象擴及至公民營機關及個人。
三、加重罰則,新增團體訴訟的機制
新修正後的個資法,除了延續舊法裡對公務員假借職務上之權利、機會或方法而犯罪的刑責外,也加重其他違反個資法的相關罰鍰及罰則。
另外對於同一原因造成多數當事人權利受侵害之事件,亦新增團體訴訟。符合提起訴訟之財團法人或公益社團法人,經二十人以上受損害之當事人書面授與訴訟實施權者,得以自己名義提起損害賠償訴訟。
參、如何避免個資外洩
在探討如何避免個資外洩之前,我們應先了解什麼情況下會造成個資外洩。常見的類型諸如向政府機關或金融機構申辦各種業務、每個月收到的帳單明細、ATM交易收據、各種網路行為、過於簡單的帳號密碼、送修電腦手機等含有儲存裝置的3C產品、向商店或俱樂部等申請加入會員、參加摸彩活動、路上隨機的問卷調查等等,都是造成資料外流的可能原因之一。
個人資料可能外洩的管道這麼多,我們該如何減低資料外洩的機會呢?
一、申辦政府機關、金融機構或其他機構之各種業務:
例如申請戶籍登記、駕照、自然人憑證、銀行開戶、申辦信用卡、申請電信業務等等;這些需要提供個人資料以及身分證等證件,務必確認需在所繳交的證件影本上註明「僅供申辦○○業務使用」,以免不小心外流時被不肖分子移做他用,使自己成為人頭帳戶。
二、每個月的帳單明細、ATM交易收據、申辦各項業務作廢的申請書或其他任何記有個人資料的便條紙:
只要是記有個人資訊,即使只是隨手寫下的便條紙,都應小心處理。常見如使用碎紙機處理,若無碎紙機時,也應將重要資訊部分重複撕毀,切勿隨手丟棄。
三、各種網路行為:
隨著資訊的發展,透過網路行為所造成的資料外洩也有逐漸增加的趨勢。除了來路不明的網站別亂點擊,以免被植入惡意程式之外,所使用的瀏覽器也必須符合SSL或SET的安全標準,這樣才能確保在網路上進行交易時的資料是經過加密處理的;此外,P2P等分享軟體所造成的「個人資料分享」也是時有耳聞,在使用上也必須特別小心。
四、勿用過於簡單的帳號密碼:
無論是提款卡的密碼、網路上各項服務的帳號密碼,請勿用生日、電話、身分證字號等容易識別個人身分的字串,以免當卡片遺失或是帳號被盜取時,密碼被輕易地猜測出來。
五、送修含有儲存裝置的3C產品:
近年來因送修這類產品所造成的個人隱私外洩事件,教人不得不警惕。若因故障需送修時,應確保個人相關資料已妥善處理,亦或請維修商簽訂切結書切結不會盜用個人資料,以避免資料外洩。
六、申辦加入會員:
在提供個人資訊前,應詳閱說明及相關保密政策,是否有選擇不將資料提供給其他廠商的欄位,以免個人資料不當流出。
七、參加摸彩活動、路上隨機的問卷調查:
這些看似不經意的資料填寫,常常讓我們在不自覺中將個人資料流出,所以在填寫時應盡量避免填寫重要的個人資訊,留下的資料越少越好。
肆、結論
個資外洩防不勝防,除了平時應養成良好的習慣外,切勿隨意提供個人資料並避免不當的網路行為,而在提供個人資料以申辦各項業務時亦須十分小心;當遇到疑似詐騙電話時,更應冷靜以對,小心求證,切勿驚慌,以免造成更大的損失。(本資料摘於清流月刊/魯明德 / 魯晏汝)