iThome
对於2023年企业资安事件频传的现况,在关注勒索软体骇客锁定上市柜公司攻击,正持续造成更多的危害之余,另一个企业同样要正视的风险,是个资曝险、机敏资料与个资外泄的发生,现在对国内普遍企业已经带来更多的影响。
在近年诈骗横行之下,个资外泄早已受到社会大众的广泛关注,像是诈骗份子可以清楚说出民众订单的状况,屡屡登上社会新闻版面。如今我们注意到,这些事件若出自上市柜公司,他们也开始发布这类重大讯息公告,我们总共发现有6起这方面的事故。
更不容企业忽视的是,不只个资相关的重大讯息2023年更常见,最近几个月以来,我们接连看到上市柜公司发布的公告很特别,因当中说明因违反个人资料保护法(个资法)受主管机关开罚,这一现象的出现,突显企业经营层需更重视个资保护。
个资外泄消息不断受媒体关注,近一年也登上重讯版面
先来看看2023年台湾上市柜公司在证交所公开资讯观测站发出的重讯,哪些与个资曝险,或个资及资料外泄有关?
首先,关於个资曝险的事件,有两起均发生在2月。先是和泰汽车发布重讯,这篇公告的标题是「澄清自由时报报导」,说明旗下和云行动服务公司的个资曝险问题已改正;接下来,还有裕融的重讯发布,标题是「针对媒体报导提出说明」,当中描述格上汽车租赁公司的个资曝险问题,已经及时因应。
在资料与个资外泄方面,华航揭露资料外泄事件,该公司在2023年1月先是发出说明媒体报导的重讯,以回应会员资料被公开在国外论坛的情形, 2月他们再次发布重讯,揭露了先前事件已有新的後续发展,说明查出委外电商平台系统连线异常,并公布确切影响范围,有5千多笔会员资料遭撷取。
3月宏碁发布相关重讯,内容是针对印度售後服务系统遭骇事件,以针对媒体报导方式说明,公布该公司的具体调查结果,指出是因为商业夥伴密码保存与管理不当,因此造成产品维修等内部资料外泄。
5月诚品发布重讯,是针对疑似个资外泄的事件,以回应媒体报导方式说明。该公司主要针对许多网购民众接获诈骗电话,且诈骗方清楚民众的订单内容一事,表示将配合数位发通知前往说明。
从上述的重讯发布来看,尽管不容易从标题看出与资安议题相关,需要各界进一步的检视与关切後续发展,不过,比起过去重大讯息少有说明这方面的消息,有厂商愿意公布这方面的状况,已有很大的差异。
3家上市柜公司因个资外泄,受个资法与银行法裁罚
对於企业而言,不只需要留意2023年个资相关重讯的增加,还有一个新的转变需要重视,那就是:出现企业因个资外泄事件遭主管机关裁罚,并且发布重大讯息的情形。
最近我们整理到数起案例,由於这些都是先前资安事件发生的後续,因此,多数企业可能还没注意到此一态势。
为何我们这麽说?2023年台湾上市柜公司遭网路攻击的资安事件重大讯息,总共有17个,特别的是,其中两起事件,我们发现其实与该公司後续的重大讯息有关,而且是涉及个资法的裁罚;有一起事件也相当特殊,发生在金融业,也与个资外泄有关,但主管机关是依银行法处置。例如:
(一)诺贝儿在10月公告遭受网路骇客攻击事件,经过3个礼拜,该公司发布另一则重大讯息:「公告本公司接获高雄市政府裁处书罚锾乙案」,说明该公司违反个人资料保护法第27条规定,依同法第48条规定,遭高雄市政府处以15万元罚锾。
(二)雄狮在11月公告遭受骇客网路攻击,到了2024年1月,该公司发布了另一则重大讯息:「公告本公司受交通部裁罚案之说明」,当中指出两个月前遭骇客网路攻击,导致发生该次资安事件,并受到交通部依违反个人资料保护法第27条第1项,处以200万元罚锾。
(三)上海商银在11月发布受金管会裁罚的重讯,内容乍看未涉及资安事件,但在同一日在金管会召开的例行记者会,恰巧提出这方面的清楚说明。金管会当时表明,是针对该银行客户资料外泄所涉缺失,依据违反银行法第129条第七款,处以1千万元罚锾,并要求4大监理事项。因此,这起重讯事件,其实也与个资外泄情事有关。而且,对於受高度监管的金融业,其主管机关金管会可运用的资源与规范,也明显更多。
企业需重视2023年个资法修法,裁罚金额与方式已经改变
由於过去上市柜公司的重大讯息发布,我们很少看到这方面的资安事件,但2023年後的变化却是如此明显,这背後的原因是什麽?虽然大家可能已经注意到去年个资法修法,还有个资保护委员会将要成立,但这些动向对企业又呈现出何种意义?
对此问题,关注个资法遵议题超过十年的达文西个资暨高科技法律事务所所长叶奇鑫表示,自从前几年我国不断传出个资外泄与诈骗事件,如今政府对於个资保护的规范,是越来越严格。
对於2023年个资保护的态势变化,他认为,从2022年下半年开始,整个个资保护的氛围,就已经变得不同。不论是否为上市柜公司,都会受到两大监管压力,一是中央目的事业主管机关,一是165反诈骗谘询专线,如果是上市柜公司,还会面对来自证交所、金管会的压力。换言之,个资法的修正不仅影响上市柜公司,也将影响普遍企业。
到了2023年5月个资法修法通过後,6月2日生效,更是带来新的转变。因为违反个资法的罚锾从过去2万到20万元,修改为2万到200万元,情节重大者可处15万元到1,500万元。
而且,裁罚的方式也有变化,之前是要求限期改正、不一定会罚,现在是「一定会罚」,可直接开罚并要求改善。这主要是因为政府展现积极打诈的决心,将这些机制涵盖於打诈5法。
从这一年来的台湾个资外泄开罚的状况来看,可以印证这个观点。例如,数位部产业署在2023年5月,就曾针对虾皮开罚,该公司个资保护程序没做好,委外厂商未落实监督管理等,且届期仍未改正,甚至态度恶劣,被开罚当时最高的20万元。
到了2024年1月,雄狮因两个月前遭骇事件,被交通部依个资法开罚200万元。之所以罚锾增加,就是因为个资法裁罚金额与方式改变,至於重罚的原因,我们推测可能与该公司是近年第二次遭骇有关。
单就上市柜公司而言,我们还发现,先前数位部产业署在2023年5月也曾针对诚品生活开罚,到了下半年,我们则是看到诺贝儿、雄狮发布遭个资法裁罚的重大讯息。相较之下,之前诚品发生这类状况时,并未发布这方面的重讯,显然,现在这方面的资讯揭露,将开始成为业界常态。
不仅如此,企业需体认到一件事:现在需要更明确的揭露个资外泄事件。
最近我们注意到,在2024年1月,上市运动休闲业者柏文发布的重大讯息,公告了旗下健身工厂会员个资遭骇客窃取事件的说明,虽然这发生在2023年7月,但在重讯标题上,已经清楚写明本次事件与个资遭窃有关。
此外,我们发现证交所最近有修订规范。在2024年1月18日公布的新版「重大讯息发布应注意事项参考问答集」,首度明确规范资安事件的「重大性」标准,包括:公司的核心资通系统、官方网站或机密文件档案资料等,遭骇客攻击或入侵(包括遭入侵、破坏、窜改、删除、加密、窃取、DDoS等),致无法营运或正常提供服务,或有个资外泄的情事等。即属造成公司重大损害或影响。言下之意,涉及个资外泄的资安事件,确实已经明订要发布重大讯息。
对於我们观察到的这些现况变化,叶奇鑫指出,2023年只是开始,当企业看到越来越多同业揭露曾遭遇骇客攻击、以及揭露因个资法被罚,会更明确感受网路攻击的风险,察觉法规已有变化。
一年後个资保护委员会即将成立,届时个资规范与要求还会再升级
为了让大家更清楚个资保护规范的态势,叶奇鑫针对近年我国个资保护的重要变化,提出详细说明。
自2021年8月开始,行政院决议成立行政机关落实个人资料保护执行联系会议,到了2022年7月,行政院订颁「新世代打击诈欺策略行动纲领」,此後一旦公司发生个资事故,就必需通报主管机关,然後主管机管要通报国发会与资安主管机关,还要副知中央主管机关(行政院),若是大型事件,更是会亲自召开会议出来管。
换言之,从2022下半年开始,建立这个标准流程之後,变成每件个资事故都不会逃过政府的监管。这也意味着,未来个资保护将成为企业更大的挑战,其原因就是:政府开始加重打诈的力道,立法院也通过这方面的修法。
而2023年新版个资法的推出,对於企业而言,有两点需要特别重视。
首先,第1条之1,增订「个人资料保护委员会」为个资法主管机关,此事的源头是111年宪判字第13号,大法官要求要设立个资保护专责机关机制,也就是专责机关。如今,这个备受外界关注的个资保护委员会,已在最近2023年12月成立筹备处。
其次,第48条,针对违反安全维护义务,修正了裁罚的上限与方式,改为应处2万元到200万元的罚锾,情节重大者更是可处15万元到1,500万元,并且是迳行处罚时同时命令改正。相较之下,过去这方面的最高罚锾,只有20万元,而且仅要求限期改正,且不一定会罚。
叶奇鑫提醒,未来的个资规范与要求还会再升级。这是因为,个资保护委员会组织法的通过,预计是在2024年底或2025年第一季,也就是说,之後就会设立成为正式机关。届时,个资法裁罚将会迈入下一篇章。不像过往一直没有专业且独立的主责机关,而且个资法也势必将迎来第3次大修法。…