新个人资料保护法规范说明-杨宏钧律师朝阳人寿法令遵循室.ppt

四、加重法律責任（一） 罰則—加重任民事、刑事、行政責任 企業、團體或個人若違反個資法，最重受刑法處罰為5年以下有期徒刑；民事賠償最高達新台幣2億元 公務機關:無過失損害賠償責任(第28條) 非公務機關:舉證責任倒置之過失責任(第29條) 同一原因事實應對於當事人負損害賠償責任者， 原則上依實際能證明損賠額賠償 如無法證明時，每人每一事件500-20000元， 最高賠償額新台弊２億元為限 行為人是否有故意過失之判斷應由公正第三人判斷之 刑事處罰：最重刑責5年(第41、42條) 1.犯罪行為 無營利行為 ：處2年以下有期徒刑 拘役或併科NT20萬元以下罰金 意圖營利行為：處5年以下有期徒刑 拘役或併科NT100萬元以下罰金 2.告訴乃論之罪 3.處罰對象 中華民國境內或外之中華民國人民 公務人員假借職務上之權力機會或方法犯本章之罪者，加重其刑至1/2 我方查明後應以適當方式通知當事人(新法第12條) 建議為降低個資外洩所造成之損害，仍應於事故發生當下先行通知當事人 個資外洩 企業因應 訴訟程序 狀況發生 四、加重法律責任（二） 行政監督(新法第22-26) * 成 本 非公務機關 中央目的事業主管機關 地方政府 如發現無涉嫌違法情形 經非公務機關同意後得 公布檢查結果 聲明異議 有理由：立即停止或變更行為 無理由：得繼續執行 如發現有涉嫌違法情形 「按次」裁處罰鍰2萬-20萬 得為相關處分(如:公布非公務機關違法情形及姓名等) 檢查時發現得沒入或可為證據之個人資料或檔案，得予扣留或複製 機關與負責人(包括管理人)併罰制 如公務機關違反本法規定而認為有必要時 即得派員攜帶執行文件進入非公務機關進行檢查或要求說明、提供資料 非公務機關之資安問題源 個資外洩之新聞事件---台新銀行 邱義仁、趙建銘都受害　台新銀襄理竊20萬筆個資 。 台新銀行後來自清，查出該行前襄理沈俊宏，涉嫌竊取邱義仁信用卡消費資料，報警移送法辦；法院一審雖判決沈俊宏無罪，但日前二審宣判結果逆轉，認定沈不當竊取資料有罪，判處有期徒刑六個月定讞。 個資外洩之新聞事件---SONY 平井一夫因成功扭轉PlayStation遊戲部門頹勢，深獲史川傑賞識，因此獲拔擢為監督Sony所有消費電子產品的新主管職務，接班態勢看好。 不料平井一夫出任新職三周後，就發生駭客入侵Sony的網路服務，竊取7,700萬名用戶的個人資料。 私人企業如何自保？ 隱私標章驗證之趨勢 台灣個人資料保護與管理機制（TPIPAS） 國際資訊安全認證標準不足以協助企業遵循我國法制，並無法符合國內企業成本架構 ? ? 針對資訊安全管理，國際間已有相關認證標準(如：ISO27001)之推行。惟此類標準主要係針對企業及組織整體資訊資產的保護，並非針對個人資料保護相關法制遵循而來。而個人資料相關法制規範主要係維護個人對於其資料的資訊自主，雖仍需要資訊系統安全之協助，但其僅為個人資料保護法制要求之一小部分，故現有資訊安全管理制度，並不符合企業遵循我國個人資料保護法制要求之需要。 ? ? 且資訊安全管理制度之導入成本，對於中小企業而言係極大之負擔。故部分國家已就個人資料保護部分另外研議管理制度，期以最切合需要的制度及合理的成本協助企業保護個人資料。以日本為例，其為ISO27001導入最大宗之國家，導入家數至2010年7月底止，計有3,572家，但其所建立的個人資料管理制度(P-Mark)，導入並通過驗證者，同一時期即達11,562家。足見對於產業而言，主要考量仍在於成本與法制遵循之需求。 網址：.tw 各國個人資料法制規範與環境之不同，相關制度無法直接移植供國內產業應用 ? ? 目前國際間包括日本、德國、韓國、英國等相關組織，皆對於個人資料保護，建立相關管理或審驗制度。惟由於各國法制規範以及所面臨之環境不同，相關制度內涵未必可以直接移植於國內使用。以德國及英國而言，由於其隸屬歐盟體制，故其管理標準或法制內容，必須依循歐盟指令之要求加以研訂。日本與韓國，則與台灣相同，為APEC之會員國，故制度規範要符合APEC之要求。惟仍因企業體制及法律細部規範之不同而於制度面有所歧異。故即便有相關制度可資參考，但仍須建立配合國內法制以及實務發展狀況的制度，方能達到本計畫之目的。 個人資料外洩險 日本狀況 日本因應個人資料保護法全面施行，除推動「個人資料保護管理制度」外，實務上亦出現各式各樣「個人資料外洩責任保險」 無線網路業者Planex與資訊安全業者Taurus、Artemis，針對雙方共同開發的「無線上網安全機制」，即與保險公司「東京海上日動」合作，民眾若利用業者提供的無線上網機制，而導致個人資料外洩或遭不當利用之情形，即可向保險公司申請理賠。 謝謝聆聽 顧