思想坦克》從7所高中校務系統遭駭事件看個人資料外洩的因應策略

資訊安全

2024年第一季台灣有6家上市櫃公司發布重大資安事件相關訊息,其中華航及中華電信有洩漏個資及重要資訊的情事,亦有7所高中校務系統遭駭,導致個資外洩,凸顯台灣的個資保護政策、法規及機制等仍有缺口,尤其是個資法未規範洩漏個資時須通報主管機關,且亦缺乏未成年個資完整保護條文。

個資法應修法增列通報主管機關條文

雖去(2023)年12月5日行政院已宣布特設個人資料保護委員會籌備處,掌理事項雖列入公務與非公務機關個人資料保護事務通報相關機制之規劃,但仍待修調個資法,以完整保護個人資料。

就此,建議政府可以參考歐盟資料保護一般規則(EU General Data Protection Regulation, GDPR)第33 條及第34 條,及2023年4月歐洲資料保護委員會 (European Data Protection Board, EDPB)發布了關於 GDPR 下的個人資料外洩通知的更新指南(Guidelines 9/2022 on personal data breach notification under GDPR):

1、要求個人資料控制者於個人資料外洩事件時,須於72 小時內通知相關監管機構,建立資安聯防,減少個資外洩傷害,若未能於72 小時內通知監理機關的,應附有延誤原因;

2、規範個資處理者發現個人資料外洩後,應立即通知控制者,不得無故拖延;

3、當政府、企業或組織發生資外洩事件時,除須盤點洩漏個資的類別(如是否洩漏敏感個資)、數量及時間記錄;

4、資料保護官(Data protection officer, DPO)的聯絡點的姓名等聯絡方式;

5、個資洩漏所產生的問題及衝擊評估;

6、當政府、企業或組織發生資外洩事件時,須提出解決個人資料外洩的根因,及所採取應變措施,即從資安調查、通報主管機關、通知當事人及相關改善方法。

為降低個資洩漏風險,應規範資安漏洞通報及修補義務

相較歐盟GDPR對於個資外洩的規範,美國更重視個資外洩的資安根因規範,例如針對漏洞通報,例如早在2002年美國加州就已頒布違反資料(庫)洩漏通知安全法(Database Breach Notification Security Act),以規範資料洩漏的各項規定,包含政府資料洩漏時的通知責任,後續加州政府更修定了個資外洩通知相關法規(Security Breach Statute),規定個人與組織發現資訊安全漏洞通報的義務,以降低資訊系統受到駭侵的風險。

直到2017年(修正),美國約有50州已完成相關立法 ,包含政府與企業(如)發現資訊系統漏洞需要主動進行通報,並規範時間、內容和方法,減少個人可識別資訊(Personally Identifiable Information, PII)洩漏,並鼓勵政府與企業形成創新合作模式

他山之石,可以攻錯,我國應學習美國防範個資外洩的立法精神,將資安漏洞列入通報(獎勵)範疇,以進行資安聯防,降低個資外洩的風險。

提升未成年人個資保護力道

2024年3月29日教育部國教署公布7所高中校務系統遭駭事件,雖稱尚未發現學習歷程檔案有被竄改、刪除的軌跡,但仍洩漏未成年人個資,凸顯未成年人個資保護力道仍相對薄弱。

倘若未來我國若發生大規模國小學生個資外洩,讓有心人士掌握學童個資,利用兒童心智尚未成熟之弱點,除恐威脅學童人生安全外,更可使用該資料對家長進行詐騙,產生極大的社會不安及風險。

就此,我國應參照歐美立法,提升未成年人個資保護力道,說明如下:

1、兒童個人資料蒐集、處理及利用應取得家長的代理授權

歐盟GDPR立法者認為兒童的個人資料應受到特殊保護,例如於該法第8(2)條要求兒童(16歲以下)的個人資料擁有者,應採取合理措施,確認家長是否同意處理兒童資料。

就此,2023年4月英國資料主管機關資訊委員會辦公室(Information Commission's Officer,ICO)依該國GDPR規定,對TikTok處以1,450萬歐元罰款,原因是13歲以下兒童在該平台上建立帳戶,未獲得家長同意,就在蒐集和處理該兒童個資,且TikTok也未向兒童提出有關蒐集和處理其數據的說明。

同年,9月愛爾蘭資安監管機構於完成TikTok調查後發現,其不當處理兒童資料後,對TikTok處以 3.45 億歐元罰款。主因,兒童註冊TikTok賬戶時,其帳號初始設定即為公開狀態,即任何人都可以查看或評論兒童的相關個資內容,且TikTok的「家庭配對模式」,將父母的帳號與其子女(兒童)的帳號關聯,卻未核實家長或監護人的身份,及取得其同意。

2、兒童個人資料須建立完備的資安防禦措施

美國兒童網路隱私權保護法(Children’s Online Privacy Protection Act, COPPA)要求兒童(13歲以下)個資管理者(蒐集、處理及利用者),應有清晰易懂的隱私權政策,於蒐集兒童個資前,須向家長通知該個資處理方法,並獲得家長確認同意;且必須建立完備的資安防禦措施,以維護兒童個人資訊的機密性、安全性和完整性。同時,家長亦有權審查其蒐集的兒童個人資料、撤銷同意以及刪除兒童個人資料。

舉例來說,2019年5月美國聯邦貿易委員會(The Federal Trade Commission, FTC)指出短影音平台Musical.ly(現稱為 TikTok)違反了聯邦《兒童線上隱私權保護法》,而被裁罰570萬美元,主因該法要求該平台於收集13歲以下兒童的個人資訊前,須獲得父母的同意,且未符合家長刪除兒童個人資訊的要求,雖刪除了兒童(未成年)帳戶,卻未從其伺服器上刪除兒童的相關影片和個人資料,包含兒童的電子郵件地址以及孩子的姓名、年齡、學校和照片。

個資法應修法兒童個資保護條款

目前,我國雖於兒童及少年福利與權益保障法第69條,要求網際網路相關媒體,不得任意報導或記載兒童姓名或其他足以識別兒童身分之資訊,但仍限定於受虐、性交、涉毒品及刑事等特種資,但卻未有完整的兒童個資保護條款。

就此,我國應參照歐美立法,修改個人資料保護法,建立兒童個資的家長授權機制、線上應用平台對兒童個資的處理規範,及完備擁有兒童個資平台的安全防護措施。