新版個人資料保護法自2010年三讀通過,至2011年10月施行細則草案推出,因將行業別規範從以往8大行業擴增至所有行業別皆適用,形成整體市場更加重視資安投資。
網店業者握有大量消費者個資,在影響上不免首當其衝,故促使網店於近年明顯增加在資安之投資與防護意識,以避免當資安事件發生時,需面臨到高額的賠償或刑罰,進而影響商譽及營運。
新版個資法在適用行業別、保護範圍、企業的行為規範、企業的行政監督與責任、民眾參與及賠償刑罰等面向,保護範圍更為廣泛,進而提升企業資安防護意識與投資程度,以避免當資安事件發生時,需面臨到的賠償或刑罰責任。
其中賠償責任從2,000萬元上限提升至2億元,刑罰責任從2年以下有期徒刑與告訴乃論,更改為5年以下有期徒刑與非告訴乃論之事,最受到企業關注。
消費者選擇網店時,有近八成考量商品價格,且五成三會考量取貨地點便利性,但單純就網店本身資安防護而言,則有九成五將資安防護納入網店選擇考量。
此外,當平台業者發生資安事件時,未遭遇事件的消費者約三成五不會與該網店交易;但若消費者遭遇資安事件,超過七成會轉換到其他網店消費。由此可知,除考量商品價格與取貨便利性,消費者除非自身遭遇資安事件,否則對網店安全考量意識不明顯,因此網店的資安防護也會影響客源。
新版個資法雖促使網店著重資安投資而增加營運成本,但其用意在建全電子商務交易環境安全,並強化消費者對網店的消費意願,藉由高額賠償與刑罰,刺激業者對資安防護的重視,同時減少消費者財務甚至網店商譽等損失。
新版個資法推出前,除少數大型網店建置資安防護,網店普遍較缺少資安投資或缺少較嚴謹的資安控管機制。新版個資法推出後,為有效確保網路購物環境資安,網店透過內部在資料外洩與加密傳輸防護、軟硬體設備、控管員工權限與監控員工行為、資料備份、弱點掃描、事件紀錄及外部用合約約束夥伴等方式,做為資安防護的方法。
同時導入國內外驗證制度,如台灣個人資料保護與管理制度TPIPAS、ISO 27001,以取得在資安防護方面的認可。網店也會減少不必要的個人隱私資料儲存管理、安排員工教育訓練、仰賴平台業者提供的資安防護措施或請夥伴合作,共同維護資訊安全。
新版個資法推出後,雖促使網店著重資安投資,但也增加網店營運成本。例如資安驗證、網路環境建置、資安人力等費用,從數十萬元至上千萬元,往後每年也需要持續投資。
網店期望能盡量以較少資源達到投資標準,但即使在施行細則草案推出後,仍有網店不清楚該投資防護措施到何種程度,才能證明善盡責任義務,甚至是能在資安事件發生時,能減輕或免除網店所需負擔的賠償及刑罰。
MIC指出,法務部規劃今年7月1日施行新版個資法,但礙於資料型態擴增至紙本與電腦處理、資料類型新增敏感性個人資料、資料檔案大小及筆數多寡都納入規範。加上擴增至各行各業等保護範圍等,正式上路日期仍難確定,目前有三成網店不知如何因應。業者應提早投資資安,在新版個資法實施後,即使發生資安事件,網店仍可以所建置的防護措施,提出善盡防護責任之依據,進而減輕甚至免除可能負擔的賠償或刑罰責任。
(作者是資策會MIC執行ITIS計畫產業分析師)
由 聯合新聞網
