Adobe憑證伺服器遭駭
由於Adobe數位簽署流程非常嚴謹,駭客必須侵入其系統才能簽署惡意軟體,縮遭受進階持續性滲透攻擊(APT,Advanced Persistent Threat),駭客也可能對其軟體的程式碼有所作為。
Adobe資安工程團隊周四(9/27)表示,他們收到兩個惡意工具程式,以崁入Adobe公司的數位簽署偽裝成Adobe開發的軟體,因此Adobe將撤換該數位憑證,以免被用於其他惡意軟體。
根據Adobe資安團隊資安總監Brad Arkin在9/12發出的Twitter顯示,該公司發現三個惡意檔案在7/25、26兩日使用該公司的數位憑證系統。
Adobe
此次更換數位簽署將配合微軟的MAPP(Microsoft Active Protection
Program)在10月4日進行,原有之數位簽署可用期限將被縮減,並列於憑證廢除名單(CRL)之內,之後使用該簽署的惡意軟體會因數位簽署過期而被
資安軟體封鎖或刪除。Adobe指出,該憑證用於微軟作業系統上的軟體及三個在麥金塔、Windows上執行的AIR軟體,分別是Adobe
Muse、Adobe Story與Acrobat.com電腦端服務。
Adobe收到的兩個惡意軟體為
pwdump7
V7.1與myGeeksmail.dll,前者可以取出Windows系統密碼的HASH值,也可以藉由OpenSSL程式庫libeay32.dll
從靜態網頁連結中取得HASH值,再利用工具或字典將HASH值轉換為明碼。後者為一個惡意ISAPI
篩選器,可以提供微軟網頁伺服器IIS的運作資料,Adobe發現該惡意軟體未被公開過。
由於Adobe數位簽署流程非常嚴謹,駭客必須侵入其系統才能簽署惡意軟體,Adobe也在一個軟體建構伺服器中找到惡意軟體,這意味該公司遭受進階持續性滲透攻擊(APT,Advanced Persistent Threat),駭客也可能對其軟體的程式碼有所作為。
經過調查之後,Adobe判斷只有一款產品的源碼受到影響,但未公布產品名稱,僅表示Flash撥放器、Adobe Reader、Shockwave撥放器及Adobe AIR都沒受到影響。還強調所有產品的程式碼都沒有外洩的跡象。
不過資安公司賽門鐵克有不同意見,由於近期有5個Flash零時差漏洞攻擊出現,該公司曾在研究報告中猜測攻擊者可能已經取得Flash的程式源碼。(編譯/沈經)
轉載自《iThome》
2012-10-07
從4個方面快速認識個資法
從4個方面快速認識個資法
雖然新版個資法的衝擊力道,對於政府單位及企業的影響程度,遠比個人還來得深遠,無論你是公司成員或一般消費者,或兩者兼而有之,認識新版個資法都是非常必要的,尤其是新版個資法所規範的範圍,幾乎已經觸及到生活的各個層面,包括我們離不開的網路,若不當心,個人同樣有觸法的危險,因此,我們整理出4個方面,從這邊切入的話,應該可以更了解個資法的重點:
1.是關於網友時常發動的人肉搜索,究竟有無個資的問題呢?
2.我們在路上隨手拍的照片,與行車記錄器畫面,是否侵害了入鏡者的個資?
3.在網路相簿及論壇網站的使用上,保護個資又是誰的責任?
4.針對購物而來的詐騙,要了解相關法規,才能確保自身權益,並適時求償。
一、人肉搜索
Case 1:中指蕭事件
在某些情況之下,例如勾起網友獵奇心態,或足以引發群情激憤之事件時,人肉搜索經常會演變成一種網路群眾運動,網友並會在各大論壇網站,將搜尋到的資訊互通有無,在個資法中,這已經牽涉到「蒐集」的行為,近兩年台灣社會較為轟動的案例,就是惡意阻擋救護車,並伸出中指挑釁的蕭姓台大研究生,在人肉搜索下,姓名、學校、家人職業一一曝光。
▲人肉搜索進而引發社會主流的關注,網友力量不可小覷。
Case 2:整理懶人包
像中指蕭這類引發討論的熱門重大事件,由於人多嘴雜,一些關鍵的核心資訊往往會被淹沒在眾多的網友po文之中,令後來才加入討論的人摸不著頭緒,所以就有網友將重點資訊彙整成一篇,讓人不需從第一篇看到最後,也能了解事件始末,這就是懶人包,但其中若有事件當事人的個人資料,則會牽涉到個資法的「蒐集」、「利用」兩個層次。
▲網友整理出懶人包雖可迅速說明事件始末,但也要注意個資問題。
律師觀點:重點應是有無濫用
在個人立場上,葉律師說明,網友們基於興趣或者討公道等原因,時常在網路上發動人肉搜索,但以這種方式「蒐集」而來的資訊,絕大部分也都是當事人主動在網路上公開的個資,這部份並無觸法之虞,只要不是透過非法駭客入侵所取得,就沒有問題。
所以主要還是在個資的「利用」這個層面,因為網路上仍然可能有少部分當事者的個資,是因為熟人正好看到,而未經當事者同意所自行貼出的,這就需要特別留意了,不僅是熟人本身,連辛苦整理成懶人包的熱心網友,因為將他人的個資隨便公布到網路上,依照情節的不同,如果是無關公眾利益的部份,的確是有可能觸法的。
二、生活影像記錄
Case 1:街頭攝影
出遊紀念照片不免有路人入鏡,街頭偶見的人文風景,總使人忍不住按下快門,然後貼到Facebook與好友分享,從個資法的角度來看,人的面貌也是一種直接的身分識別,因此當然算是個人資料的一種,有許多攝影師在進行街頭攝影時,甚至會隨身準備同意書請入鏡者填寫,但是,真的有必要這麼麻煩嗎?
▲街頭攝影時常會拍到不相干的路人。圖片來源:Kevin Dooley@Flickr
Case 2:行車記錄器
行車記錄器近來開始流行,主要是為了避免行車糾紛,並在事故發生時有個佐證,不過出乎意料的是,透過行車記錄器,也一併記錄下目前道路上的許多行車亂象,像是不遵守交通規則,或更可惡的肇事逃逸,在YouTube上,就可以看到這些違規行駛的公開影片,及網友要求警方出面查辦,在新版個資法出爐後,這些影片是否有觸法之虞,也受到重視。
▲行車記錄器在記錄行車道路狀況時,也會將周遭車輛的車牌拍下。
律師觀點:法理不外乎人情
為了避免造成一般民眾生活上的困擾,新版個資法第51條規定,只要你是單純為了個人或家庭活動,而去蒐集、處理或利用個人資料,就不在個資法的限制條件內,亦即你不用一一的去向照片入鏡者,告知你的照片使用範圍及使用目的,在公開場合拍攝的照片人物,只要別再額外加上足以識別該人物的個人資料,就沒有太大問題,不過葉律師提醒,雖然不違反個資法,但仍須注意肖像權的問題。
而關於行車記錄器所拍到的車牌,許多人會做影片處理再放上網路,葉律師認為,車牌所有人並不代表就是實際駕駛人,所以不牽涉到個資法問題,但卻跟隱私有關,為求慎重,噴霧處理是不錯的方式。
▲關於個人資料保護法的詳細條文,可以上全國法規資料庫查詢。
▲財團法人法律扶助基金會。
三、網路個資防護
Case 1:部落格與網路相簿
從學術網路起家的無名小站,是台灣早期的社群熱門網站,並提供部落格文章及相簿上鎖功能,因此有許多人大膽地將裸露的私密照放入其中,但站內不但發生過系統更新而使上鎖失效的案例,私密照片更成為網路駭客破解的熱門焦點,有不少個人資料便因此外流,在使用者的角度上,如非必要,還是盡量不要隨便將個人隱私資料放到網路上,以避免不必要的麻煩。
▲無名小站的上鎖相簿,時常成為網路駭客們的攻擊目標。
Case 2:論壇網站
基於互相交流的目的,網路上有各式不同類型的討論區,以論壇網站的形式存在,有些是可隨意瀏覽的,而有些則要求網友必須要加入會員,才能獲取論壇的進階功能以及積分,在加入會員的同時,你也將部分個人資料給拱手奉上了,你的電子郵件信箱常收到來歷不明的廣告信嗎?大多是因為這個緣故。甚至有些論壇,把主機架在國外來規避國內法規,對此個資法亦新增國際傳輸的相關規定來規範。
▲在申請服務前看清楚會員規範,也是保護個人資料的基本功夫。
律師觀點:看清楚書面同意及契約內容
新版個資法規定,不管是公務或非公務機關,在蒐集個人資料時,都必須明確告知使用方式及範圍,且需取得當事人的書面同意,但這在現今的網路世界似乎很難切實執行,關於這點,葉律師認為,因服務性質而需蒐集個資的機構,像是這些網路平台業者或論壇網站,應該會援引第19條第2款的規定,與當事人建立起契約或類似契約之關係,藉此免除需取得使用者紙本同意書的麻煩之處,而實際的作法,就是在填寫會員資料時,以文字加註並附勾選框,若勾選同意,則代表你已經同意提供對方個資並加以利用,不過你依然保有要求對方更正及刪除你個資的權利,也能申請調閱個資複本。
四、受害求償
Case 1:網路購物
在台灣,拍賣網站及線上購物網站的交易量,是相當熱絡的,因為「什麼都有、什麼都賣」,不但便利快速,也很容易撿到便宜貨,不過與其他網路服務不同的地方是,要想讓物品正確到貨,就非得留下真實的個人資訊不可,像是知名的PChome線上購物與博客來網路書店,都曾經發生疑似顧客名單外流的事件,搞得人心惶惶,而消費者即使客訴,往往僅能得到官方的制式回應,更沒有辦法提出確切的證明,個資是被購物網站或網路賣家所外洩的。
Case 2:ATM詐騙
在拍賣網站及購物網站訂了東西,收到後才沒過幾天,就接到偽裝成客服,操著大陸口音的電話,說因為操作失誤,不小心將一次匯款變成了分期扣款,要買家趕快到ATM提款機前作取消,相信是台灣人共同的回憶,這手法雖已經陳腐到大多數人不至於上當,但接到時還是會心裡不痛快,不過買個東西而已,為何對方會連手機電話、自己買了什麼通通都知道。
▲遇到詐騙,千萬別聽從指示操作ATM。圖片來源:Heather Cowper@Flickr
律師觀點:尋求法律方式進行求償
葉律師說明,不管是購物網站未能妥善保管個資導致外洩,或以非法手段取得個資,並據以進行詐騙或行銷者,都已經違反個資法,如果你因此而接到許多地下當舖或色情簡訊的廣告,十之八九你的個人資料已經外流了。另外還有一種情形是,應屆畢業生把剛拿到畢業紀念冊,交給認識的補習班作為電話招生之用,不管是有償或是無償,從個資「蒐集」、「利用」的角度,兩方都已經觸犯了個資法,不可不慎。
如果個人真的因為個資外洩而遭受詐騙,並產生實質的損害,接下來便是要訴諸法律行動,前面所提到的網路詐騙行為,對於消費者來說,反而是最容易進行求償的項目之一,詐騙集團為了取信於人,往往會將你當次的消費資訊全都說得明明白白,甚至比你自己還清楚,不過這麼一來,也直接幫助你肯定,你的個資是究竟從哪個地方外洩出去的,抓到盜取個資的駭客之前,你可以考慮對這些購物網站先進行求償動作。
▲時常接到奇怪的簡訊廣告?你的個資很可能已經外流了。圖片來源:David Nestor@Flickr
過去因個資外洩受損害的賠償成功案例非常少,原因之一就是舉證相當困難,如今新版個資法將舉證責任倒置,被告的公司企業,必須自行舉證並無洩漏用戶個資的情況,使這些大公司對於個資的蒐集、處理、利用,將會更加謹慎。葉律師並建議,訴訟準備的資料當然是越齊全越好,像是匯款資料、通聯記錄,以及受害者的筆錄證詞等等,即使接到詐騙電話時來不及錄音,但只要來自同一購物網站的報案人數眾多,警方然可以肯定有個資外洩情事發生,最重要的,就是別悶不吭聲,讓自身權益睡著了。
▲盡可能蒐集足夠的損害資料,以作為求償訴訟的依據。圖片來源:Mike@Flickr
轉載自《T客幫》
雖然新版個資法的衝擊力道,對於政府單位及企業的影響程度,遠比個人還來得深遠,無論你是公司成員或一般消費者,或兩者兼而有之,認識新版個資法都是非常必要的,尤其是新版個資法所規範的範圍,幾乎已經觸及到生活的各個層面,包括我們離不開的網路,若不當心,個人同樣有觸法的危險,因此,我們整理出4個方面,從這邊切入的話,應該可以更了解個資法的重點:
1.是關於網友時常發動的人肉搜索,究竟有無個資的問題呢?
2.我們在路上隨手拍的照片,與行車記錄器畫面,是否侵害了入鏡者的個資?
3.在網路相簿及論壇網站的使用上,保護個資又是誰的責任?
4.針對購物而來的詐騙,要了解相關法規,才能確保自身權益,並適時求償。
一、人肉搜索
Case 1:中指蕭事件
在某些情況之下,例如勾起網友獵奇心態,或足以引發群情激憤之事件時,人肉搜索經常會演變成一種網路群眾運動,網友並會在各大論壇網站,將搜尋到的資訊互通有無,在個資法中,這已經牽涉到「蒐集」的行為,近兩年台灣社會較為轟動的案例,就是惡意阻擋救護車,並伸出中指挑釁的蕭姓台大研究生,在人肉搜索下,姓名、學校、家人職業一一曝光。
Case 2:整理懶人包
像中指蕭這類引發討論的熱門重大事件,由於人多嘴雜,一些關鍵的核心資訊往往會被淹沒在眾多的網友po文之中,令後來才加入討論的人摸不著頭緒,所以就有網友將重點資訊彙整成一篇,讓人不需從第一篇看到最後,也能了解事件始末,這就是懶人包,但其中若有事件當事人的個人資料,則會牽涉到個資法的「蒐集」、「利用」兩個層次。
律師觀點:重點應是有無濫用
在個人立場上,葉律師說明,網友們基於興趣或者討公道等原因,時常在網路上發動人肉搜索,但以這種方式「蒐集」而來的資訊,絕大部分也都是當事人主動在網路上公開的個資,這部份並無觸法之虞,只要不是透過非法駭客入侵所取得,就沒有問題。
所以主要還是在個資的「利用」這個層面,因為網路上仍然可能有少部分當事者的個資,是因為熟人正好看到,而未經當事者同意所自行貼出的,這就需要特別留意了,不僅是熟人本身,連辛苦整理成懶人包的熱心網友,因為將他人的個資隨便公布到網路上,依照情節的不同,如果是無關公眾利益的部份,的確是有可能觸法的。
二、生活影像記錄
Case 1:街頭攝影
出遊紀念照片不免有路人入鏡,街頭偶見的人文風景,總使人忍不住按下快門,然後貼到Facebook與好友分享,從個資法的角度來看,人的面貌也是一種直接的身分識別,因此當然算是個人資料的一種,有許多攝影師在進行街頭攝影時,甚至會隨身準備同意書請入鏡者填寫,但是,真的有必要這麼麻煩嗎?
Case 2:行車記錄器
行車記錄器近來開始流行,主要是為了避免行車糾紛,並在事故發生時有個佐證,不過出乎意料的是,透過行車記錄器,也一併記錄下目前道路上的許多行車亂象,像是不遵守交通規則,或更可惡的肇事逃逸,在YouTube上,就可以看到這些違規行駛的公開影片,及網友要求警方出面查辦,在新版個資法出爐後,這些影片是否有觸法之虞,也受到重視。
律師觀點:法理不外乎人情
為了避免造成一般民眾生活上的困擾,新版個資法第51條規定,只要你是單純為了個人或家庭活動,而去蒐集、處理或利用個人資料,就不在個資法的限制條件內,亦即你不用一一的去向照片入鏡者,告知你的照片使用範圍及使用目的,在公開場合拍攝的照片人物,只要別再額外加上足以識別該人物的個人資料,就沒有太大問題,不過葉律師提醒,雖然不違反個資法,但仍須注意肖像權的問題。
而關於行車記錄器所拍到的車牌,許多人會做影片處理再放上網路,葉律師認為,車牌所有人並不代表就是實際駕駛人,所以不牽涉到個資法問題,但卻跟隱私有關,為求慎重,噴霧處理是不錯的方式。
▲財團法人法律扶助基金會。
三、網路個資防護
Case 1:部落格與網路相簿
從學術網路起家的無名小站,是台灣早期的社群熱門網站,並提供部落格文章及相簿上鎖功能,因此有許多人大膽地將裸露的私密照放入其中,但站內不但發生過系統更新而使上鎖失效的案例,私密照片更成為網路駭客破解的熱門焦點,有不少個人資料便因此外流,在使用者的角度上,如非必要,還是盡量不要隨便將個人隱私資料放到網路上,以避免不必要的麻煩。
Case 2:論壇網站
基於互相交流的目的,網路上有各式不同類型的討論區,以論壇網站的形式存在,有些是可隨意瀏覽的,而有些則要求網友必須要加入會員,才能獲取論壇的進階功能以及積分,在加入會員的同時,你也將部分個人資料給拱手奉上了,你的電子郵件信箱常收到來歷不明的廣告信嗎?大多是因為這個緣故。甚至有些論壇,把主機架在國外來規避國內法規,對此個資法亦新增國際傳輸的相關規定來規範。
▲在申請服務前看清楚會員規範,也是保護個人資料的基本功夫。
律師觀點:看清楚書面同意及契約內容
新版個資法規定,不管是公務或非公務機關,在蒐集個人資料時,都必須明確告知使用方式及範圍,且需取得當事人的書面同意,但這在現今的網路世界似乎很難切實執行,關於這點,葉律師認為,因服務性質而需蒐集個資的機構,像是這些網路平台業者或論壇網站,應該會援引第19條第2款的規定,與當事人建立起契約或類似契約之關係,藉此免除需取得使用者紙本同意書的麻煩之處,而實際的作法,就是在填寫會員資料時,以文字加註並附勾選框,若勾選同意,則代表你已經同意提供對方個資並加以利用,不過你依然保有要求對方更正及刪除你個資的權利,也能申請調閱個資複本。
四、受害求償
Case 1:網路購物
在台灣,拍賣網站及線上購物網站的交易量,是相當熱絡的,因為「什麼都有、什麼都賣」,不但便利快速,也很容易撿到便宜貨,不過與其他網路服務不同的地方是,要想讓物品正確到貨,就非得留下真實的個人資訊不可,像是知名的PChome線上購物與博客來網路書店,都曾經發生疑似顧客名單外流的事件,搞得人心惶惶,而消費者即使客訴,往往僅能得到官方的制式回應,更沒有辦法提出確切的證明,個資是被購物網站或網路賣家所外洩的。
Case 2:ATM詐騙
在拍賣網站及購物網站訂了東西,收到後才沒過幾天,就接到偽裝成客服,操著大陸口音的電話,說因為操作失誤,不小心將一次匯款變成了分期扣款,要買家趕快到ATM提款機前作取消,相信是台灣人共同的回憶,這手法雖已經陳腐到大多數人不至於上當,但接到時還是會心裡不痛快,不過買個東西而已,為何對方會連手機電話、自己買了什麼通通都知道。
律師觀點:尋求法律方式進行求償
葉律師說明,不管是購物網站未能妥善保管個資導致外洩,或以非法手段取得個資,並據以進行詐騙或行銷者,都已經違反個資法,如果你因此而接到許多地下當舖或色情簡訊的廣告,十之八九你的個人資料已經外流了。另外還有一種情形是,應屆畢業生把剛拿到畢業紀念冊,交給認識的補習班作為電話招生之用,不管是有償或是無償,從個資「蒐集」、「利用」的角度,兩方都已經觸犯了個資法,不可不慎。
如果個人真的因為個資外洩而遭受詐騙,並產生實質的損害,接下來便是要訴諸法律行動,前面所提到的網路詐騙行為,對於消費者來說,反而是最容易進行求償的項目之一,詐騙集團為了取信於人,往往會將你當次的消費資訊全都說得明明白白,甚至比你自己還清楚,不過這麼一來,也直接幫助你肯定,你的個資是究竟從哪個地方外洩出去的,抓到盜取個資的駭客之前,你可以考慮對這些購物網站先進行求償動作。
過去因個資外洩受損害的賠償成功案例非常少,原因之一就是舉證相當困難,如今新版個資法將舉證責任倒置,被告的公司企業,必須自行舉證並無洩漏用戶個資的情況,使這些大公司對於個資的蒐集、處理、利用,將會更加謹慎。葉律師並建議,訴訟準備的資料當然是越齊全越好,像是匯款資料、通聯記錄,以及受害者的筆錄證詞等等,即使接到詐騙電話時來不及錄音,但只要來自同一購物網站的報案人數眾多,警方然可以肯定有個資外洩情事發生,最重要的,就是別悶不吭聲,讓自身權益睡著了。
轉載自《T客幫》
個人資料保護法施行細則修正條文全文
個人資料保護法施行細則修正條文全文
法務部正式公布了個資法施行細則修正條文,共有33條,將於10月1日和個資法同步實施
資料來源:行政院公報資訊網
法務部令 中華民國101年9月26日 法令字第10103107360號
修正「電腦處理個人資料保護法施行細則」,並修正名稱為「個人資料保護法施行細則」,定自中華民國一百零一年十月一日施行。
附修正「個人資料保護法施行細則」
部 長 曾勇夫
個人資料保護法施行細則修正條文
第一條 本細則依個人資料保護法(以下簡稱本法)第五十五條規定訂定之。
第二條 本法所稱個人,指現生存之自然人。
第三條 本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。
第四條 本法第二條第一款所稱病歷之個人資料,指醫療法第六十七條第二項所列之各款資料。
本法第二條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。
本法第二條第一款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。
本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。
本法第二條第一款所稱健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。
本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。
第五條 本法第二條第二款所定個人資料檔案,包括備份檔案。
第六條 本法第二條第四款所稱刪除,指使已儲存之個人資料自個人資料檔案中消失。
本法第二條第四款所稱內部傳送,指公務機關或非公務機關本身內部之資料傳送。
第七條 受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。
第八條 委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。
前項監督至少應包含下列事項:
一、 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、 受託者就第十二條第二項採取之措施。
三、 有複委託者,其約定之受託者。
四、 受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。
五、 委託機關如對受託者有保留指示者,其保留指示之事項。
六、 委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。
第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。
受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。
第九條 本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律,指法律或法律具體明確授權之法規命令。
第十條 本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務,指於下列法規中所定公務機關之職務:
一、法律、法律授權之命令。
二、 自治條例。
三、 法律或自治條例授權之自治規則。
四、 法律或中央法規授權之委辦規則。
第十一條 本法第六條第一項第二款、第八條第二項第二款所稱法定義務,指非公務機關依法律或法律具體明確授權之法規命令所定之義務。
第十二條 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。
第十三條 本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料,指當事人自行對不特定人或特定多數人揭露其個人資料。
本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料,指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。
第十四條 本法第七條所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。
第十五條 本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。
第十六條 依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。
第十七條 本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。
第十八條 本法第十條第三款所稱妨害第三人之重大利益,指有害於第三人個人之生命、身體、自由、財產或其他重大利益。
第十九條 當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時,應為適當之釋明。
第二十條 本法第十一條第三項所稱特定目的消失,指下列各款情形之一:
一、 公務機關經裁撤或改組而無承受業務機關。
二、 非公務機關歇業、解散而無承受機關,或所營事業營業項目變更而與原蒐集目的不符。
三、 特定目的已達成而無繼續處理或利用之必要。
四、 其他事由足認該特定目的已無法達成或不存在。
第二十一條 有下列各款情形之一者,屬於本法第十一條第三項但書所定因執行職務或業務所必須:
一、 有法令規定或契約約定之保存期限。
二、 有理由足認刪除將侵害當事人值得保護之利益。
三、 其他不能刪除之正當事由。
第二十二條 本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。
依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。
第二十三條 公務機關依本法第十七條規定為公開,應於建立個人資料檔案後一個月內為之;變更時,亦同。公開方式應予以特定,並避免任意變更。
本法第十七條所稱其他適當方式,指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開。
第二十四條 公務機關保有個人資料檔案者,應訂定個人資料安全維護規定。
第二十五條 本法第十八條所稱專人,指具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員。
公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。
第二十六條 本法第十九條第一項第二款所定契約或類似契約之關係,不以本法修正施行後成立者為限。
第二十七條 本法第十九條第一項第二款所定契約關係,包括本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。
本法第十九條第一項第二款所稱類似契約之關係,指下列情形之一者:
一、 非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為。
二、 契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為。
第二十八條 本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。
第二十九條 依本法第二十二條規定實施檢查時,應注意保守秘密及被檢查者之名譽。
第三十條 依本法第二十二條第二項規定,扣留或複製得沒入或可為證據之個人資料或其檔案時,應掣給收據,載明其名稱、數量、所有人、地點及時間。
依本法第二十二條第一項及第二項規定實施檢查後,應作成紀錄。
前項紀錄當場作成者,應使被檢查者閱覽及簽名,並即將副本交付被檢查者;其拒絕簽名者,應記明其事由。
紀錄於事後作成者,應送達被檢查者,並告知得於一定期限內陳述意見。
第三十一條 本法第五十二條第一項所稱之公益團體,指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人。
第三十二條 本法修正施行前已蒐集或處理由當事人提供之個人資料,於修正施行後,得繼續為處理及特定目的內之利用;其為特定目的外之利用者,應依本法修正施行後之規定為之。
第三十三條 本細則施行日期,由法務部定之。
法務部正式公布了個資法施行細則修正條文,共有33條,將於10月1日和個資法同步實施
資料來源:行政院公報資訊網
法務部令 中華民國101年9月26日 法令字第10103107360號
修正「電腦處理個人資料保護法施行細則」,並修正名稱為「個人資料保護法施行細則」,定自中華民國一百零一年十月一日施行。
附修正「個人資料保護法施行細則」
部 長 曾勇夫
個人資料保護法施行細則修正條文
第一條 本細則依個人資料保護法(以下簡稱本法)第五十五條規定訂定之。
第二條 本法所稱個人,指現生存之自然人。
第三條 本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。
第四條 本法第二條第一款所稱病歷之個人資料,指醫療法第六十七條第二項所列之各款資料。
本法第二條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。
本法第二條第一款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。
本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。
本法第二條第一款所稱健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。
本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。
第五條 本法第二條第二款所定個人資料檔案,包括備份檔案。
第六條 本法第二條第四款所稱刪除,指使已儲存之個人資料自個人資料檔案中消失。
本法第二條第四款所稱內部傳送,指公務機關或非公務機關本身內部之資料傳送。
第七條 受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。
第八條 委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。
前項監督至少應包含下列事項:
一、 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、 受託者就第十二條第二項採取之措施。
三、 有複委託者,其約定之受託者。
四、 受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。
五、 委託機關如對受託者有保留指示者,其保留指示之事項。
六、 委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。
第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。
受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。
第九條 本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律,指法律或法律具體明確授權之法規命令。
第十條 本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務,指於下列法規中所定公務機關之職務:
一、法律、法律授權之命令。
二、 自治條例。
三、 法律或自治條例授權之自治規則。
四、 法律或中央法規授權之委辦規則。
第十一條 本法第六條第一項第二款、第八條第二項第二款所稱法定義務,指非公務機關依法律或法律具體明確授權之法規命令所定之義務。
第十二條 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。
第十三條 本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料,指當事人自行對不特定人或特定多數人揭露其個人資料。
本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料,指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。
第十四條 本法第七條所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。
第十五條 本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。
第十六條 依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。
第十七條 本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。
第十八條 本法第十條第三款所稱妨害第三人之重大利益,指有害於第三人個人之生命、身體、自由、財產或其他重大利益。
第十九條 當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時,應為適當之釋明。
第二十條 本法第十一條第三項所稱特定目的消失,指下列各款情形之一:
一、 公務機關經裁撤或改組而無承受業務機關。
二、 非公務機關歇業、解散而無承受機關,或所營事業營業項目變更而與原蒐集目的不符。
三、 特定目的已達成而無繼續處理或利用之必要。
四、 其他事由足認該特定目的已無法達成或不存在。
第二十一條 有下列各款情形之一者,屬於本法第十一條第三項但書所定因執行職務或業務所必須:
一、 有法令規定或契約約定之保存期限。
二、 有理由足認刪除將侵害當事人值得保護之利益。
三、 其他不能刪除之正當事由。
第二十二條 本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。
依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。
第二十三條 公務機關依本法第十七條規定為公開,應於建立個人資料檔案後一個月內為之;變更時,亦同。公開方式應予以特定,並避免任意變更。
本法第十七條所稱其他適當方式,指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開。
第二十四條 公務機關保有個人資料檔案者,應訂定個人資料安全維護規定。
第二十五條 本法第十八條所稱專人,指具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員。
公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。
第二十六條 本法第十九條第一項第二款所定契約或類似契約之關係,不以本法修正施行後成立者為限。
第二十七條 本法第十九條第一項第二款所定契約關係,包括本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。
本法第十九條第一項第二款所稱類似契約之關係,指下列情形之一者:
一、 非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為。
二、 契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為。
第二十八條 本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。
第二十九條 依本法第二十二條規定實施檢查時,應注意保守秘密及被檢查者之名譽。
第三十條 依本法第二十二條第二項規定,扣留或複製得沒入或可為證據之個人資料或其檔案時,應掣給收據,載明其名稱、數量、所有人、地點及時間。
依本法第二十二條第一項及第二項規定實施檢查後,應作成紀錄。
前項紀錄當場作成者,應使被檢查者閱覽及簽名,並即將副本交付被檢查者;其拒絕簽名者,應記明其事由。
紀錄於事後作成者,應送達被檢查者,並告知得於一定期限內陳述意見。
第三十一條 本法第五十二條第一項所稱之公益團體,指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人。
第三十二條 本法修正施行前已蒐集或處理由當事人提供之個人資料,於修正施行後,得繼續為處理及特定目的內之利用;其為特定目的外之利用者,應依本法修正施行後之規定為之。
第三十三條 本細則施行日期,由法務部定之。
新版個資法上路,4個重點、8大案例,認識網路個人資料保護問題
新版個資法上路,4個重點、8大案例,認識網路個人資料保護問題
新版個資法已於今年10月1號正式上路,其適用對象包括了自然人(也就是一般人)、法人(企業)或其他任何3人以上的團體。對公司企業而言,如果洩露消費者的個資,天價的損害賠償金額很嚴重;而人肉搜索、行車記錄器、網路相簿、網路購物、ATM詐騙等等,也都跟大家息息相關。
修法完成並在今年4月份經立法院三讀通過的《個人資料保護法》,簡稱個資法,行政院隨即在8月份拍板定案,決議分兩階段來實施,其中較無爭議性的條文,已於今年10月1號正式上路了,而且不再有緩衝寬限期,其適用對象包括了自然人(也就是一般人),法人(企業)或其他任何3人以上的團體,公司企業內保存的客戶資料動輒數十萬筆,因此無不嚴陣以待,最大原因就是那天價的損害賠償金額,你是否感受到它所帶來的震撼了呢?
其實在台灣,一般小市民對於個人資料安全的警覺度還算足夠,原因就在於不法詐騙集團橫行,在新聞事件與政府屢屢宣導之下,雖已久病成良醫,但沒人敢保證,下一回是否會被推陳出新的手法給誘騙上當,所以個資法的正式施行,對一般人來說,不能不說是一個天大的好消息,然而反過來想,我們卻也可能在不經意的情況下,觸犯了個資法的規定,另外要是個資洩漏遭受損害,又該如何向對方求償?所以我們都該好好認識一下,這項與個人權益切身相關的重要議題。
新舊版個資法有何不同
個人資料保護法,也被稱為新版個資法,這是因為早在民國84年間,政府便已公布施行了《電腦處理個人資料保護法》,時間距今十餘年之久,因此被稱作舊版個資法,可想而知,其中的許多規定早已經不合時宜。然而新舊版的個資法之間究竟有何差異呢?首先是適用的範圍大為擴張,不再侷限於特定行業以及數位資料,並且加重刑罰,相同原因產生的賠償金額合併計算,最高可以達到2億元,這個金額是舊有法規的10倍之多。
新舊版個資法差異
處理個人資料的三個層次
達文西個資暨高科技法律事務所的葉奇鑫律師則特別指出,「新版個資法還有個最大特色,就是團體訴訟」,也就是往後發生個資外洩糾紛,可由公益團體出面代表所有受害者進行訴訟,免除了以往受害者必須自行跑法院處理相關流程,且勢單力孤難以跟大企業對抗的窘況,進一步落實個資保護的制度。
▲葉奇鑫律師是國內個資法的權威。
個人可以行使的權利
個資法主要從蒐集、處理和利用等三個層面,來規範個資的使用範圍,不論是電腦中的數位資料,或者是寫在紙張上的個人資料,全都一體適用。當企業向顧客蒐集個人資料時,必須盡到告知的義務,包括了蒐集目的、企業名稱、資料類別、資料利用期間、地區、方式、當事人權利,以及當事人不提供個資時,對其權益的影響等, 後續個人資料的處理與利用,都必須要在已經告知過的使用範圍之內,不得挪做他用,其中最讓人振奮的一點,就是個資外洩的舉證責任,回到了企業團體身上,企業需證明是否已對個人資料善盡保管之責。
而個資法亦明令,個人仍然可以對已經提供出去的個人資料,行使相關權利,這包括了查詢、更正、要求停止蒐集、處理或利用,也可以要求企業進行完全刪除。另外,企業在運用個人資料時,必須要取得當事者書面的同意,書面指的是紙張,這在現今社會或許較難達成,因此企業可能會採取契約或類似契約的關係來代替,像是網頁上的同意勾選框,所以在勾選前最好也先看清楚內容。
遏止詐騙活動的良方?
相較於世界上其他國家,葉律師解釋,目前個資法最完備、標準最高,執行也最徹底的地方,其實是在歐盟,日本現今的法律與我們新版的個資法差不多,雖未到歐盟的標準,但也相當接近了,而美國對於個人資料的保護,是分散在各法規之中,並無獨立的專法,所以我國新版個資法已相當先進,應可處理絕大部分的個資問題。
然而,在這麼嚴格的規定下,是否真的能讓詐騙集團就此失業呢?雖不至於會完全消失,但詐騙活動將大為減少是可預期的,最主要原因在於公司企業,為了避免受罰,一定會加強資安的管控,「以日本為例子,他們的個資法實行3年之後,個資外洩的情形便大幅度減少了」,當然,過往也許已有很多資料掌握在詐騙集團手中,但隨時間過去,久未更新情報的歹徒,行騙時也更容易露出馬腳。
▲許多人都曾接過類似的訊息,而這不過是詐騙的其中一種形式而已。
從4個方面快速認識個資法:人肉搜索及生活影像記錄、網路個資防護、受害求償
轉載自《T客邦》
新版個資法已於今年10月1號正式上路,其適用對象包括了自然人(也就是一般人)、法人(企業)或其他任何3人以上的團體。對公司企業而言,如果洩露消費者的個資,天價的損害賠償金額很嚴重;而人肉搜索、行車記錄器、網路相簿、網路購物、ATM詐騙等等,也都跟大家息息相關。
修法完成並在今年4月份經立法院三讀通過的《個人資料保護法》,簡稱個資法,行政院隨即在8月份拍板定案,決議分兩階段來實施,其中較無爭議性的條文,已於今年10月1號正式上路了,而且不再有緩衝寬限期,其適用對象包括了自然人(也就是一般人),法人(企業)或其他任何3人以上的團體,公司企業內保存的客戶資料動輒數十萬筆,因此無不嚴陣以待,最大原因就是那天價的損害賠償金額,你是否感受到它所帶來的震撼了呢?
其實在台灣,一般小市民對於個人資料安全的警覺度還算足夠,原因就在於不法詐騙集團橫行,在新聞事件與政府屢屢宣導之下,雖已久病成良醫,但沒人敢保證,下一回是否會被推陳出新的手法給誘騙上當,所以個資法的正式施行,對一般人來說,不能不說是一個天大的好消息,然而反過來想,我們卻也可能在不經意的情況下,觸犯了個資法的規定,另外要是個資洩漏遭受損害,又該如何向對方求償?所以我們都該好好認識一下,這項與個人權益切身相關的重要議題。
新舊版個資法有何不同
個人資料保護法,也被稱為新版個資法,這是因為早在民國84年間,政府便已公布施行了《電腦處理個人資料保護法》,時間距今十餘年之久,因此被稱作舊版個資法,可想而知,其中的許多規定早已經不合時宜。然而新舊版的個資法之間究竟有何差異呢?首先是適用的範圍大為擴張,不再侷限於特定行業以及數位資料,並且加重刑罰,相同原因產生的賠償金額合併計算,最高可以達到2億元,這個金額是舊有法規的10倍之多。
新舊版個資法差異
處理個人資料的三個層次
達文西個資暨高科技法律事務所的葉奇鑫律師則特別指出,「新版個資法還有個最大特色,就是團體訴訟」,也就是往後發生個資外洩糾紛,可由公益團體出面代表所有受害者進行訴訟,免除了以往受害者必須自行跑法院處理相關流程,且勢單力孤難以跟大企業對抗的窘況,進一步落實個資保護的制度。
▲葉奇鑫律師是國內個資法的權威。
個人可以行使的權利
個資法主要從蒐集、處理和利用等三個層面,來規範個資的使用範圍,不論是電腦中的數位資料,或者是寫在紙張上的個人資料,全都一體適用。當企業向顧客蒐集個人資料時,必須盡到告知的義務,包括了蒐集目的、企業名稱、資料類別、資料利用期間、地區、方式、當事人權利,以及當事人不提供個資時,對其權益的影響等, 後續個人資料的處理與利用,都必須要在已經告知過的使用範圍之內,不得挪做他用,其中最讓人振奮的一點,就是個資外洩的舉證責任,回到了企業團體身上,企業需證明是否已對個人資料善盡保管之責。
而個資法亦明令,個人仍然可以對已經提供出去的個人資料,行使相關權利,這包括了查詢、更正、要求停止蒐集、處理或利用,也可以要求企業進行完全刪除。另外,企業在運用個人資料時,必須要取得當事者書面的同意,書面指的是紙張,這在現今社會或許較難達成,因此企業可能會採取契約或類似契約的關係來代替,像是網頁上的同意勾選框,所以在勾選前最好也先看清楚內容。
遏止詐騙活動的良方?
相較於世界上其他國家,葉律師解釋,目前個資法最完備、標準最高,執行也最徹底的地方,其實是在歐盟,日本現今的法律與我們新版的個資法差不多,雖未到歐盟的標準,但也相當接近了,而美國對於個人資料的保護,是分散在各法規之中,並無獨立的專法,所以我國新版個資法已相當先進,應可處理絕大部分的個資問題。
然而,在這麼嚴格的規定下,是否真的能讓詐騙集團就此失業呢?雖不至於會完全消失,但詐騙活動將大為減少是可預期的,最主要原因在於公司企業,為了避免受罰,一定會加強資安的管控,「以日本為例子,他們的個資法實行3年之後,個資外洩的情形便大幅度減少了」,當然,過往也許已有很多資料掌握在詐騙集團手中,但隨時間過去,久未更新情報的歹徒,行騙時也更容易露出馬腳。
▲許多人都曾接過類似的訊息,而這不過是詐騙的其中一種形式而已。
從4個方面快速認識個資法:人肉搜索及生活影像記錄、網路個資防護、受害求償
轉載自《T客邦》
施行細則正式公布,個資法確認10月1日實施
施行細則正式公布,個資法確認10月1日實施
行政院宣布新版個資法正式於10月1日施行,除了規範特種個資的第6條,和已間接蒐集個資需1年內告知的第54條,這兩條暫緩實施以外,其餘條文如期實施,法務部也正式公布新版個資法施行細則,同步於10月1日實施
行政院宣布新版個資法正式於10月1日施行,除了規範特種個資的第6條,和已間接蒐集個資需1年內告知的第54條,這兩條暫緩實施以外,其餘條文如期實施,原本行政院擬取消的第41條中對非意圖營利而違法者的刑責部分,則來不及完成修法,將照常實施,換句話說,自10月1日起,任何人違反個資法都將有刑責。法務部也正式發布了個資法施行細則,共有33條,細則也將同步於10月1日實施。法務部並於9月下旬預告了使用個資的特定目的,以及個資類別的修正草案。
法務部政務次長陳明堂表示,在不逾越母法的規範下,施行細則從4個面向來解釋和補充個資法母法,包括了技術性、細節性、補充性等面向。不過,制定法條時,部分科技性資安議題未列入考量,如雲端個資保護方式等,所以,行政院長陳冲也指示法務部,在2年內重新檢視個資法的適用內容。
在施行細則的第12條第2項也明定了11項企業要採取的安全維護措施,其中第一款的安全維護措施和法務部先前預告的版本不同。原本要求企業要成立管理組織,現在只要求要有專人管理即可。
陳明堂解釋,彙整各方建議後發現,管理組織因公司規模大小而有不同,要求規模較小的非公務機關成立管理組織有其窒礙難行之處。因為安全維護措施的重點是要求非公務機關有專門人員可落實個資管理與保護,同時也配合個資法第18條「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項」的規定,因此,最後公布的施行細則決定將第一款的安全維護措施改成「配置管理之人員及相當資源。」
而且,這個施行細則第25條也定義個資法第18條所稱「專人」,只要是「具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員」即可,陳明堂表示,並沒有設定任何學歷或證照的資格或背景,重點是,一旦司法機關要判定公務和非公務機關,是否有因故意或過失而違反個資法規定時,是否有設定這樣的個資專人,就可能是法官進行裁量時的參考依據。
另外一個重點是,陳明堂說,新版細則也放寬了多數人最有疑慮的「書面意思表示」、「告知方式」和「通知方式」的解釋。只要符合電子簽章法規定的電子文件,都可以作為合法的「書面意思表示」。
至於施行細則第16條規定的「告知方式」和第22條規定的「通知方式」,陳明堂表示,為了配合公務與非公務機關實務運作所需,也放寬「告知」或「通知」的方式,除了原本的書面外,還可以增加:言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉的方式,都是合法的「告知」或「通知」方式。
但關鍵在於,陳明堂說:「不論採用何種告知或通知的方式,企業都必須付起舉證責任,證明曾經做過相關的告知或通知。」因為個資當事人都有要求更正與刪除的個資權利,所以,相關的通知或告知方式,並不需要等到對方同意才算完成。
此外,法務部也在9月17日預告發布了新版個人資料保護法的「特定目的及個人資料之類別」,新版本共有181項特定目的,以及134種資料類別,可作為企業利用和處理個資時的參考,利用目的需符合這些特定目的的項目,需要告知當事人時,也須依此特定目的清單和資料類別來說明企業持有的個資和使用目的。文⊙黃彥棻
轉載自《iThome》
行政院宣布新版個資法正式於10月1日施行,除了規範特種個資的第6條,和已間接蒐集個資需1年內告知的第54條,這兩條暫緩實施以外,其餘條文如期實施,法務部也正式公布新版個資法施行細則,同步於10月1日實施
行政院宣布新版個資法正式於10月1日施行,除了規範特種個資的第6條,和已間接蒐集個資需1年內告知的第54條,這兩條暫緩實施以外,其餘條文如期實施,原本行政院擬取消的第41條中對非意圖營利而違法者的刑責部分,則來不及完成修法,將照常實施,換句話說,自10月1日起,任何人違反個資法都將有刑責。法務部也正式發布了個資法施行細則,共有33條,細則也將同步於10月1日實施。法務部並於9月下旬預告了使用個資的特定目的,以及個資類別的修正草案。
法務部政務次長陳明堂表示,在不逾越母法的規範下,施行細則從4個面向來解釋和補充個資法母法,包括了技術性、細節性、補充性等面向。不過,制定法條時,部分科技性資安議題未列入考量,如雲端個資保護方式等,所以,行政院長陳冲也指示法務部,在2年內重新檢視個資法的適用內容。
在施行細則的第12條第2項也明定了11項企業要採取的安全維護措施,其中第一款的安全維護措施和法務部先前預告的版本不同。原本要求企業要成立管理組織,現在只要求要有專人管理即可。
陳明堂解釋,彙整各方建議後發現,管理組織因公司規模大小而有不同,要求規模較小的非公務機關成立管理組織有其窒礙難行之處。因為安全維護措施的重點是要求非公務機關有專門人員可落實個資管理與保護,同時也配合個資法第18條「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項」的規定,因此,最後公布的施行細則決定將第一款的安全維護措施改成「配置管理之人員及相當資源。」
而且,這個施行細則第25條也定義個資法第18條所稱「專人」,只要是「具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員」即可,陳明堂表示,並沒有設定任何學歷或證照的資格或背景,重點是,一旦司法機關要判定公務和非公務機關,是否有因故意或過失而違反個資法規定時,是否有設定這樣的個資專人,就可能是法官進行裁量時的參考依據。
另外一個重點是,陳明堂說,新版細則也放寬了多數人最有疑慮的「書面意思表示」、「告知方式」和「通知方式」的解釋。只要符合電子簽章法規定的電子文件,都可以作為合法的「書面意思表示」。
至於施行細則第16條規定的「告知方式」和第22條規定的「通知方式」,陳明堂表示,為了配合公務與非公務機關實務運作所需,也放寬「告知」或「通知」的方式,除了原本的書面外,還可以增加:言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉的方式,都是合法的「告知」或「通知」方式。
但關鍵在於,陳明堂說:「不論採用何種告知或通知的方式,企業都必須付起舉證責任,證明曾經做過相關的告知或通知。」因為個資當事人都有要求更正與刪除的個資權利,所以,相關的通知或告知方式,並不需要等到對方同意才算完成。
此外,法務部也在9月17日預告發布了新版個人資料保護法的「特定目的及個人資料之類別」,新版本共有181項特定目的,以及134種資料類別,可作為企業利用和處理個資時的參考,利用目的需符合這些特定目的的項目,需要告知當事人時,也須依此特定目的清單和資料類別來說明企業持有的個資和使用目的。文⊙黃彥棻
轉載自《iThome》
IEEE十萬用戶帳密外洩 涵蓋蘋果、Google等員工資料
IEEE十萬用戶帳密外洩 涵蓋蘋果、Google等員工資料
將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP,內容包含99979名會員的帳號與密碼及其活動記錄,產生之緩衝檔案與日誌檔案容量高達100GB。
哥本哈根大學助教Radu Dragusin發現,電機電子工程師學會(IEEE,Institute of Electrical and Electronics Engineers)網站將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP,內容包含99979名會員的帳號與密碼及其活動記錄,約為全體會員數目41.1萬的24%。
Radu Dragusin表示,這些資料至少在一個月前就已經設定錯誤,在發現錯誤並修正之前,任何人都可以隨意抓取相關檔案,期間該網站網頁伺服器回應3.76億次連結請求,產生之緩衝檔案與日誌檔案容量高達100GB。
網站日誌檔案內含有使用者的帳號與密碼資料及活動記錄,而且這些記錄都是以明碼方式儲存。由於許多人在不同網站使用相同的帳號與密碼,因此這些資料可能導致其他網站資料被竊。一般而言,網站會在數種開放源碼的加密技術中挑選一種來保護帳號、密碼這些重要資料
目前雖然沒有任何證據顯示這些資料已經外洩,但仍無法排除在設定修正之前,駭客已經發現可以隨意取走這些資料。
IEEE會員主要為全球各大科技機構的研發人員,目前已知蘋果、Google、IBM、Oracle、三星、史丹佛大學等單位的員工都在此次可能外洩資料的範圍內,這些使用者的帳號與密碼都可能已經外洩,而且還包含這些使用者在ieee.org與spectrum.ieee.org兩個網站的活動記錄,也包含部分美國專利商標局及IEEE等網域的電子郵件往來記錄。
Radu Dragusin也針對用戶所使用的密碼做統計,發現123456這個密碼使用頻率最高,為271次,之後依序為ieee2012共270次、12345678共246次、123456789共109次。
IEEE透過電子郵件發表聲明,表示該協會已經發現網站日誌檔案設定錯誤及使用明碼記錄帳號、密碼等問題,將徹底調查並加以修正。該協會重視並維護用戶隱私,會通知受影響的用戶,並對此事件對會員及客戶的影響表示致歉。(編譯/沈經)
將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP,內容包含99979名會員的帳號與密碼及其活動記錄,產生之緩衝檔案與日誌檔案容量高達100GB。
哥本哈根大學助教Radu Dragusin發現,電機電子工程師學會(IEEE,Institute of Electrical and Electronics Engineers)網站將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP,內容包含99979名會員的帳號與密碼及其活動記錄,約為全體會員數目41.1萬的24%。
Radu Dragusin表示,這些資料至少在一個月前就已經設定錯誤,在發現錯誤並修正之前,任何人都可以隨意抓取相關檔案,期間該網站網頁伺服器回應3.76億次連結請求,產生之緩衝檔案與日誌檔案容量高達100GB。
網站日誌檔案內含有使用者的帳號與密碼資料及活動記錄,而且這些記錄都是以明碼方式儲存。由於許多人在不同網站使用相同的帳號與密碼,因此這些資料可能導致其他網站資料被竊。一般而言,網站會在數種開放源碼的加密技術中挑選一種來保護帳號、密碼這些重要資料
目前雖然沒有任何證據顯示這些資料已經外洩,但仍無法排除在設定修正之前,駭客已經發現可以隨意取走這些資料。
IEEE會員主要為全球各大科技機構的研發人員,目前已知蘋果、Google、IBM、Oracle、三星、史丹佛大學等單位的員工都在此次可能外洩資料的範圍內,這些使用者的帳號與密碼都可能已經外洩,而且還包含這些使用者在ieee.org與spectrum.ieee.org兩個網站的活動記錄,也包含部分美國專利商標局及IEEE等網域的電子郵件往來記錄。
Radu Dragusin也針對用戶所使用的密碼做統計,發現123456這個密碼使用頻率最高,為271次,之後依序為ieee2012共270次、12345678共246次、123456789共109次。
IEEE透過電子郵件發表聲明,表示該協會已經發現網站日誌檔案設定錯誤及使用明碼記錄帳號、密碼等問題,將徹底調查並加以修正。該協會重視並維護用戶隱私,會通知受影響的用戶,並對此事件對會員及客戶的影響表示致歉。(編譯/沈經)
員工資料外洩:公司會計、助理、HR…全部中槍!
員工資料外洩:公司會計、助理、HR…全部中槍!
傳統上大家總以為,和公司有關的違法事件,全部應該由老闆去扛,一切責任與員工無關。
然而,個資法今天 (10/1) 正式上路,它對於全台灣的所有公司(包括上市櫃、中小企業、甚至是服飾店與餐廳)以及公司員工所造成的影響,絕對不亞於慧星撞地球,我們就先從員工資料談起。
任何公司不問大小,除非老闆兼撞鐘,否則都會有員工。有員工,就必然有姓名、身分證字號、戶籍地址、現住地址、手機號碼、家中電話號碼、勞健保與退休金資料、薪資單、銀行帳戶、扣繳憑單、打卡單、請假單及曠職紀錄…更多一點的,還可能會有警察局所核發的良民證、聯合徵信中心出具的信用報告、與健檢機構的健康檢查報告。【別忘了,這些全部屬於個資】
公司裡的這些個資一旦出問題,誰有事?
1. 刑責
個資法第41條「違反第19條、第20條第1項,足生損害於他人者,處二年以下有期徒刑」;而第19、20條所規範的是什麼呢?簡單講,它要求公司對於個資的「蒐集、處理、利用」都必須合乎特定目的,並且取得當事人的書面同意。「蒐集」員工上述個資,雖然未必都有正當性(比方說,員工家庭成員有哪些人、分別在哪裡上班?是否為同性戀?員工以前信用如何?),但卻多半在任職時經員工同意(注意,最好取得書面),所以爭議程度小。但個資之「處理」(記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或傳送),則對公司內部經手員工薪資、勞健保及勞退、人事檔案等個人資料的同仁來講,麻煩最大!一旦違規檢索、複製、刪除、輸出(從資料庫中輸出報表而列印)、傳送(Email出去),將由實際上的行為人(而非公司老闆)負刑責!因此,公司員工的個資處理,要是沒有強化安全控管機制,並能追蹤資料流向,萬一出事,勢將風聲鶴戾,經手員工互推責任,不是嗎?
2. 賠償
這部分的問題也不小。 雖然個資法第29條有規定,除非無過失,否則公司員工的個資洩露,應由公司負賠償之責(賠償標準,將以每人每次洩露$500 – $20,000為範圍,由法官看狀況核定,最高賠到二億元。)但是,另外民法在第188條第1、3兩項,對於受僱人的責任同時作出規範「受僱人因執行職務,不法侵害他人之權利者,由僱用人與行為人連帶負損害賠償責任…」、「僱用人賠償損害時,對於為侵權行為之受僱人,有求償權」;換句話講,公司員工的個資洩露,固然公司脫不了賠償之責,但您如果在公司裡經手員工的個資、但卻在處理時不慎讓個資外流的話,除了要和公司對被害者負連帶責任外,公司要是先賠了,還將再回過頭來向您求償!
3. 罰鍰
這邊也有相當嚴苛的規定。在個資法施行細則第12條,要求所有公司都要對個資作「安全維護措施」,而此措施中的第一項要求就是配置管理人。因此,您如果被公司指派為個資管理人的話,依個資法第50條「非公務機關之…管理人…因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰」。員工個資萬一外流,公司百分之百一定被政府祭出罰鍰處分。罰單的金額,從$20,000起跳,最高到$500,000。公司被罰多少,擔任公司內部個資管理人的,也要同樣被罰多少!依我們觀察,被老闆指派擔任個資管理人,其壓力之大、所負責任之重,在我國法制史上恐怕史無前例,千萬不可不慎。
我們誠心建議,雖然在公司內部處理到其他同仁的個資勢所難免,但必須學會自我保護,務必要偕同公司訂立並執行「適當安全措施」,否則只怕後患無窮!
反制個資侵權實作
(1)先在Android手機上安裝"Purpose of this call"或其他的錄音軟體並啟動自動來電錄音功能。
(2)10/1起,凡是遇到自己個資被盜用或濫用的廣告來電,立刻向電信公司申請單次通話明細。
(3) 把錄音檔從SD卡裡拷貝出來,到管區派出所報案「來電者涉犯個資法第41條第1項…」。
由於本案是告訴乃論,所以對方一定會被迫和解並支付賠償!(但要注意,警察的心態是多一事不如少一事,因此務必堅持提告,最好還把法條帶著,否則這種新法律他們常常搞不清楚…)
轉載自《Counsel Group》
傳統上大家總以為,和公司有關的違法事件,全部應該由老闆去扛,一切責任與員工無關。
然而,個資法今天 (10/1) 正式上路,它對於全台灣的所有公司(包括上市櫃、中小企業、甚至是服飾店與餐廳)以及公司員工所造成的影響,絕對不亞於慧星撞地球,我們就先從員工資料談起。
任何公司不問大小,除非老闆兼撞鐘,否則都會有員工。有員工,就必然有姓名、身分證字號、戶籍地址、現住地址、手機號碼、家中電話號碼、勞健保與退休金資料、薪資單、銀行帳戶、扣繳憑單、打卡單、請假單及曠職紀錄…更多一點的,還可能會有警察局所核發的良民證、聯合徵信中心出具的信用報告、與健檢機構的健康檢查報告。【別忘了,這些全部屬於個資】
公司裡的這些個資一旦出問題,誰有事?
1. 刑責
個資法第41條「違反第19條、第20條第1項,足生損害於他人者,處二年以下有期徒刑」;而第19、20條所規範的是什麼呢?簡單講,它要求公司對於個資的「蒐集、處理、利用」都必須合乎特定目的,並且取得當事人的書面同意。「蒐集」員工上述個資,雖然未必都有正當性(比方說,員工家庭成員有哪些人、分別在哪裡上班?是否為同性戀?員工以前信用如何?),但卻多半在任職時經員工同意(注意,最好取得書面),所以爭議程度小。但個資之「處理」(記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或傳送),則對公司內部經手員工薪資、勞健保及勞退、人事檔案等個人資料的同仁來講,麻煩最大!一旦違規檢索、複製、刪除、輸出(從資料庫中輸出報表而列印)、傳送(Email出去),將由實際上的行為人(而非公司老闆)負刑責!因此,公司員工的個資處理,要是沒有強化安全控管機制,並能追蹤資料流向,萬一出事,勢將風聲鶴戾,經手員工互推責任,不是嗎?
2. 賠償
這部分的問題也不小。 雖然個資法第29條有規定,除非無過失,否則公司員工的個資洩露,應由公司負賠償之責(賠償標準,將以每人每次洩露$500 – $20,000為範圍,由法官看狀況核定,最高賠到二億元。)但是,另外民法在第188條第1、3兩項,對於受僱人的責任同時作出規範「受僱人因執行職務,不法侵害他人之權利者,由僱用人與行為人連帶負損害賠償責任…」、「僱用人賠償損害時,對於為侵權行為之受僱人,有求償權」;換句話講,公司員工的個資洩露,固然公司脫不了賠償之責,但您如果在公司裡經手員工的個資、但卻在處理時不慎讓個資外流的話,除了要和公司對被害者負連帶責任外,公司要是先賠了,還將再回過頭來向您求償!
3. 罰鍰
這邊也有相當嚴苛的規定。在個資法施行細則第12條,要求所有公司都要對個資作「安全維護措施」,而此措施中的第一項要求就是配置管理人。因此,您如果被公司指派為個資管理人的話,依個資法第50條「非公務機關之…管理人…因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰」。員工個資萬一外流,公司百分之百一定被政府祭出罰鍰處分。罰單的金額,從$20,000起跳,最高到$500,000。公司被罰多少,擔任公司內部個資管理人的,也要同樣被罰多少!依我們觀察,被老闆指派擔任個資管理人,其壓力之大、所負責任之重,在我國法制史上恐怕史無前例,千萬不可不慎。
我們誠心建議,雖然在公司內部處理到其他同仁的個資勢所難免,但必須學會自我保護,務必要偕同公司訂立並執行「適當安全措施」,否則只怕後患無窮!
反制個資侵權實作
(1)先在Android手機上安裝"Purpose of this call"或其他的錄音軟體並啟動自動來電錄音功能。
(2)10/1起,凡是遇到自己個資被盜用或濫用的廣告來電,立刻向電信公司申請單次通話明細。
(3) 把錄音檔從SD卡裡拷貝出來,到管區派出所報案「來電者涉犯個資法第41條第1項…」。
由於本案是告訴乃論,所以對方一定會被迫和解並支付賠償!(但要注意,警察的心態是多一事不如少一事,因此務必堅持提告,最好還把法條帶著,否則這種新法律他們常常搞不清楚…)
轉載自《Counsel Group》
訂閱:
文章 (Atom)