最嚴個資法GDPR上路 台灣企業合規？

文●鄭慧菁

史上最嚴格的歐盟資料保護規範（General Data Protection Regulation，GDPR），已於今（二○一八）年五月二十五日上路，受衝擊的產業包括業務涉及資料跨境傳輸的金融業、電子商務，以及航空業，其中又以金融業影響最大，尤其國內八大公股行庫在歐盟境內設有分行，個資保護是否完善，直接受到歐洲政府檢視。

踩線恐罰七．二億 政府不敢掉以輕心

GDPR 的罰責相當嚴厲，只要企業或組織有歐洲民眾的個人資料遭到外洩，外洩的企業或組織都必須在七十二小時內通報資料保護主管機關（Data Protection Authority），並且會依照外洩個資情節輕重，處以不同金額的罰鍰，像是個資外洩情節較輕者，可能被罰款一千萬歐元（約台幣三．六億元）或以全球營業額二％作為罰款；情節較重者，則是被罰款二千萬歐元（約台幣七．二億元）或全球營業額四％作為罰款（取其高者作為罰款）。因為罰責實在太重，讓政府不敢掉以輕心。

國發會主委陳美伶五月底率團拜會歐盟司法總署、成長總署及資訊網絡暨科技總署，向歐方表達申請適足性認定的意願。金管會也協助金融業者聘請專業顧問建置法遵相關規範，並要求企業設置個人資料保護長，透過簽訂標準個資保護契約條款的方式，達到 GDPR 規定。

嚴管個資 全球法令趨勢

嚴格管理個資，已經成為全球法令趨勢，兆豐產物意外保險部經理許義松觀察，美國五十州當中，有四十七州要求個資外洩，企業有義務通知受害人，而這項通知費用也居所有損失之冠，「擁有高個資的企業，如果有一百萬個客戶，每封簡訊三塊錢，光通知費就高達台幣三百萬元。」

其次是訴訟費，許多案例顯示，企業在訟訴期間，就會把責任險額度用掉一大半，如果保額不足，很難負起事後的賠償責任。

第三則是數位鑑識費用，每台主機視資料多寡，鑑識費用在台幣十萬～五十萬元之間，五十部電腦就要五百萬～二千五百萬元，相當可觀。

亞洲也對民眾的個資權益採取保護措施，台灣已於二○一二年適用個人資料保護法，中國大陸新網路安全法已於二○一七年六月生效。

金融業買資安險 美金十萬起跳

今（二○一八）年三月臉書疏於保護隱私引發眾怒，包括將五千萬筆用戶個資外洩給政治諮詢公司「劍橋分析」（Cambridge Analytica），「劍橋分析」曾參與川普二○一六年的美國總統大選選戰，因此臉書個資外洩事件，也蒙上政治色彩，國會兩院議員均提議對網路企業祭出相關規範。

關鍵數據遺失與外洩，除對企業本身造成損失與遭監理機關裁罰之外，更在媒體負面報導下對商譽造成重大影響，七十一％的消費者表示，會在個資外洩之後離開，而第三人的賠償責任，在集體訟訴下，法院可能判出天文數字。台灣對於違反個資的罰則，同一事件最高可求償新台幣二億元。

台灣企業逐漸建立資安風險意識，但僅著手於網路技術提升，真正編列預算購買資安險的仍是少數，因為保費實在不便宜。目前對資安險有興趣的企業主要為金融業，依擁有個資數量及安全等級不同，資安險價格約落在美金十萬～二十萬元之間，不是基層採購人員就能決定，上報董事會要獲得多數非科技專業的董事同意也不容易。

資策會資安科技研究所組長邱之崧談到，中小企業的問題更嚴重，許多企業是由 IT 人員負責資安維護，一旦提出購買資安險需求，甚至會被質疑專業能力不足。這些負責人，可能沒看見懸崖就不知勒馬，一味拓展業務，視風險於無物。

除了被駭客入侵，也可能因不當使用而觸法，資誠智能風險管理諮詢有限公司執行董事張晉瑞分析，企業擁有愈多個資，承擔的責任也愈重，運用個資須留意不能超過特定目的，並定期盤點個資，掌握擁有的個資數量及存放位置，同時思考可能產生什麼樣的風險，及如何保護，建議聘請外部顧問做個資健檢。此外，透過認證程序確認個資管理制度符合標準，對使用者、個資當事人展現保護個資的決心。再者，委外個資是否獲得妥善保護是企業容易忽略的重點，若合作廠商未善盡管理責任，將對企業造成很大的風險。

更多內容詳見現代保險新聞網 http://www.rmim.com.tw。 請至現代保險網路書城 http://www.rmim.com.tw/bookstore / 或 各大連鎖書店，購買或訂閱現代保險雜誌。

歡迎加入＜現代保險 Fb 粉絲團＞＆＜現代保險 LINE＠好友＞

Facebook 請搜尋：現代保險健康＋理財雜誌 RMi

LINE 請 ID 搜尋：＠rmi888

讓您每天接收最新保險資訊！

來源：《現代保險雜誌》 355 期

更多精彩內容請至 《現代保險雜誌》