Category: 資安新聞

0

零售業個資維護辦法上路 業者若違反最重可罰1500萬

為防堵個資外洩事件,經濟部表示,百貨超商等綜合零售業個資維護辦法今天上路,受規範業者須於6個月內訂定安全維護計畫,包含事故通報、會員個資管理機制,同時保障消費者可拒絕個資被用於行銷的權利,業者若違反規定最高可罰新台幣1500萬元。

為促使百貨、超商及量販等通路業落實保護民眾個資責任,經濟部商業司發布新聞稿表示,依據個人資料保護法第27條第3項規定訂定「綜合商品零售業個人資料檔案安全維護管理辦法」,並於今天發布施行。

經濟部表示,針對資本額達1000萬元以上、並有招募會員或可取得交易對象個人資料的綜合商品零售業者,應於辦法發布施行日起6個月內,完成個人資料檔案安全維護計畫訂定。

安全維護計畫包含個資蒐集、處理及利用的內部管理程序、界定個資的範圍及項目、資訊安全管理及人員管理、實施教育訓練及事故預防、通報及應變機制等,並應配置相當資源,落實個資檔案的安全維護及管理,防止個資被竊取、竄改、毀損、滅失或洩露。

其中,應變機制包含控制事故對當事人造成的損害,業者須於發現事故時起72小時內通報主管機關。

此外,綜合商品零售業者利用個資為行銷時應符合規定,包括業者首次利用個資為行銷時,應提供當事人或其法定代理人表示拒絕接受行銷的方式,並支付所需費用;當事人或其法定代理人表示拒絕接受行銷者,應立即停止利用。

至於會員與業者業務終止後的個資處理方法,安全維護計畫也特別規範個資至少需保存5年,以確保未來發生外洩事件調查。

商業司官員表示,若業者違反安全維護管理辦法,依照個資法規定,將處以2萬元以上200萬元以下罰鍰,並限期改正,若限期未改善或情節重大,將處以15萬元以上1500萬元以下罰鍰;屆期未改正者,採按次處罰。

為輔導業者訂定個人資料檔案安全維護管理計畫,商業司表示,將舉辦系列宣導說明會,以落實個資保護,降低個資外洩案件數量及發生頻率。

 

新聞出處:https://www.cna.com.tw/news/afe/202308010154.aspx

0

今年要求1千4百多家公司設置專責資安單位,目前僅2成達標

去年底上市櫃第一級公司皆已完成資安長、資安主管及至少2名專責人員的設置,在2023年底則是要求第二級公司需完成資安主管及至少1名專責人員的設置,今年已過去4個月,尚有1,171家上市櫃要行動。

這兩年,我國政府聚焦於推動產業落實資安,不論是規範企業揭露資安事件重大訊息,以及要求公司年報記載資安管理作為,成為不同產業上市櫃公司必要之務,還有逐年規範符合條件公司配置相應資安人力,例如,去年底要求113家上市櫃公司需設置資安長。

2023年還有哪些重要目標?臺灣證券交易所(證交所)公布最新推動現況,例如,要求1,443家第二級公司需在年底前,完成資安主管及至少1名專責人員的設置,而且,個資保護將是下一重點。

今年第二級公司要設置專責資安單位,已有270多家做到

為了強化上市櫃公司資安治理能力,金管會證期局與證交所之前已有公開說明,他們主要從資訊公開、公司治理、監理協助的角度出發,提出多項幫助上市櫃公司資安防護的措施。

關於這一年來的推動情形,從臺灣證券交易所副經理汪厚燊的說明來看,以資訊公開的推動面向而言,不論是重大訊息、年報上的資安揭露,以及內控度措施的資安檢查,都早已完成推動。

不過,在公司治理的推動面向上,我們注意到有兩大新進展受關注,分別是:資安長、資安專責單位及資安人員的設置狀況,以及公司治理評鑑項目的調整。

首先,目前各界最關切的焦點,就是要求上市櫃公司設置相關資安人力。

以2022年底對於第一級公司的要求而言,汪厚燊表示,目前這些被要求的102家上市及13家上櫃公司,均已完成資安長、資安專責主管及至少2名資安專責人員的設置。

而今年的重要進度,就是針對第二級公司的要求。值得我們關注的是,今年受規範的上市櫃公司數量龐大,共有1,443家需在2023年底達目標,完成資安主管及至少1名專責人員的配置。

目前這方面進度如何?汪厚燊指出,根據最新統計顯示(至4月30日止),國內已有270多家公司提早完成目標,比例將近2成,不過,此一進度算是偏慢,畢竟今年已經過去三分之一,仍有8成比例的公司還未行動。

同時,汪厚燊公布了更具體的統計資料,目前還有618家上市公司與553家上櫃公司,尚未完整設置專責資安主管及資安人員。其中,尚未設置資安主管的公司,有上市602家與上櫃546家,尚未設置資安人員的有602家上市與533家上櫃。

整體而言,還有大約1,100多家的上市櫃公司,要在接下來的8個月內,做好填補專責資安人力的工作。對於這樣的結果,我們認為,也反映普遍上市櫃內部缺乏專責資安團隊的現況。


圖片來源/臺灣證券交易所

為了提升上市櫃公司對資訊安全的重視,臺灣證券交易所副經理汪厚燊表示,今年重點是在第二級公司,目前尚有1,100多家上市櫃公司要完成資安主管及至少1名專責人員的配置,同時,政府也鼓勵這些公司能加入領域ISAC,或TWCERT等資通安全情資分享平臺,以達資安聯防之效。攝影/iThome

公司治理評鑑加分項目,今年新增導入資安標準並取得驗證

第二個新焦點,是在公司治理評鑑的修正,將完成導入「國際資安標準」並取得外部驗證,納為加分項目,可在公司治理評鑑的總分另加1分。

事實上,我們在2019年即注意到,治理評鑑項目首度新增資安相關內容:「2.24 公司是否建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案,並揭露於公司網站或年報?」。而在最新第九屆資安治理評鑑中,除了將上述指標的文字做調整,以符合「公開發行公司年報應行記載事項準則」修訂的內容,並特別將導入ISO27001、CNS27001或同等以上的資訊安全管理系統標準,並取得第三方驗證,納為公司治理評鑑的加分項目。

不過,汪厚燊強調,比起國外的公司治理評鑑所設定的資安指標來看,我們還有很大的提升空間。基本上,公司治理評鑑的目的,是促進公司本身主動增進治理水準與動力,藉由每年度自評逐步導引企業採用良善公司治理措施,而在國際間的公司治理評鑑中,資安評鑑指標項目的內容,還會涵蓋更廣。

圖片來源/臺灣證券交易所

以我國公司治理評鑑的資安指標而言,目前主要涵蓋面向是在:政策與機制、流程與基礎架構、引用國際標準,以及第三方驗證。但以道瓊永續指數(DJSI)、明晟永續指數(MSCI ESG)而言,其涵蓋範圍更是包括:定期弱點分析、事件因應、收集與留存資料最小化、政策涵蓋供應鏈及合作伙伴、資安教育訓練。

換言之,儘管國內還沒有將這些方面訂為評鑑項目內容,但企業也可從國際發展態勢作為借鑑,視為增加公司資安治理的要項。

促進資安訊息分享,第一級公司加入ISAC、TWCERT達8成

關於監理協助推動面向的新進展,主要焦點就是著重於資安訊息的分享。去年金管會證期局已開始鼓勵上市櫃公司,加入資通安全情資分享平臺,包括國內各領域ISAC(金融、科技、醫療、能源、通訊、交通),沒有產業限制的TWCERT,以促進上市櫃公司的資安情資分享與聯防。

這方面的進度如何?汪厚燊表示,截至今年3月7日為止,以第一級公司而言,102家上市公司中有91家加入,比例達近9成,13家上櫃公司有10家加入,比例達7成6。

以第二級公司而言,在772家的上市公司中,已經有242家加入,比例為3成1,在671家的上櫃公司中,已經有187家加入,比例為2成7。

總體而言,第一級公司的加入狀況還算不錯,平均在8成左右,但第二級公司還不夠積極。

因此,證交所與櫃買中心希望在2023年底前,能促進更多上市櫃公司加入這類平臺,取得資安預警情資、資安威脅與弱點資訊,以達資安聯防之效。

個資保護將成下一重點,內控查核將新增個資檢查項目

至於2023年下半,主管機關可能提出哪些新規範,汪厚燊透露,個資議題會是一大重點。

關於個資保護,不只是上市櫃公司,所有公司都應該要有所重視,因為近期政府動作連連。例如,在今年5月,國發會祭出防止非公務機關個資外洩的精進措施,就是針對個資而來。而且,個人資料保護法部分條文修正草案通過,將設立「個人資料保護委員會」,並將限期未改善或情節重大的最高罰責提高至1,500萬元。

而針對上市櫃公司,主管機關也將從監理協助的內控查核方面著手,新增加個資查核的項目來因應。

另外,汪厚燊表示,政府為了鼓勵企業重視資安規畫,除了祭出裁罰措施,也有提供獎勵計畫,例如,去年經濟部與財政部發布「公司或有限合夥事業投資智慧機械與第五代行動通訊系統及資通安全產品或服務抵減辦法」,首度將資安投資納入抵稅範圍,為期三年,今年將可開始申請2022年的資安投資抵稅,最晚申請時間是5月底。

針對三大資安作為揭露,證交所增加參考範例

近年來,我國強化上市櫃資安從資訊公開、公司治理,以及監理協助著手,自2023年推動概況來看,資訊公開方面新動向較少,因為多數都已完成,但我們最近發現,證交所在2021年12月底發布針對資安管理的股東會年報最佳實務參考範例,在2023年有新的版本,因此,我們在大會演說結束後詢問汪厚燊,目前看來,新版本是在2023年2月發布,當中對於資通安全風險管理架構、重大資通安全事件、資通安全風險與因應措施等層面的範例數量,將原本的1個變成2個,希望幫助上市櫃公司編製年報的人員有更多參考依據,符合主管機關、產業投資人的期望。

文章來源

0

立院三讀通過個資法修法,企業外洩個資可直接開罰要求改善,最重可罰1,500萬元

立法院今天(5/16)三讀通過個資法修正案,國發會指出,修正案加強對非公務機關違反安全維護義務,例如企業外洩個資事件,可直接開罰並限期改正,違反嚴重者最高可罰1,500萬元。另外,呼應各界要求設置獨立個資保護機關,行政院將儘速成立個資保護委員會籌備處。

此次個資法修法有2項重點,主要為第1條之1、第48條及第56條。首先是,針對外界認為個資法對企業違反安全維護義務罰則過低,主管機關往往先命改正後處罰,批評無法有效責成業者強化個資安全作為,因此在修正案中修改第48條規定,企業若違反安全義務將直接開罰,同時命其改正,並提高罰鍰上限,從2萬元以上20萬元以下,提高為2萬元以上200萬元以下。

如違反情節重大者,處15萬元以上1,500萬元以下罰鍰,屆期未改善者,得按次開罰15萬元以上1,500萬元以下罰鍰。

另一個修法重點是增加個資法第1條之1規定,由個人資料保護委員會擔任個資法主管機關,行政院將會積極推動設置個資保護獨立監督機關,以達成去年8月憲法法庭判決,要求3年內完成個資保護獨立監督機制,並解決目前個資主管機關分散,缺少個資保護的獨立專責機關問題,同時也能接軌國際趨勢。

國發會表示,此次修法將賦予行政機關更有效的執法權限,行政院也將儘速設立個資保護委員會籌備處,並推動組織草案、第二階段個資法修法工作。至於強化公務機關個資保護,將落實資通安全管理法對公務機關的規範,未來也會由獨立的個資保護委員會,就整體規畫公務及非公務機關個資保護監督機制。

此次個資法修法主要呼應外界限期改正再處罰、罰責過輕的批評,以及要求設立獨立個資保護主管機關。先前iRent發生40萬筆客戶資料外洩,雖然交通部公路總局成立專門的小組進行調查,限期要求改善,最後因業者限期未改善開罰最高20萬元,未來企業如再發生類似事件,將受到更高的罰鍰。另,根據媒體報導,政府計畫在8月成立個資保護委員會籌備處。

文章出處:https://www.ithome.com.tw/news/156904

0

誠品、iRent接連個資外洩,修法後最重罰1500萬!分析師:資安還要補強兩件事

2023年到現在,台灣已經發生至少15起資安事件,像是:華航的電商平台發生異常後傳出會員資料遭竊、微風廣場收到匿名勒贖信件後客戶資料外洩、威秀影城發生顧客個資外洩、宏碁資訊委外權限遭竊導致產品資料外洩……。究竟有沒有實際規範能加以約束?一次又一次引起了爭議。

立法院在本月16日三讀通過《個人資料保護法》部分條文修正案,針對近期多家企業發生的個資外洩事件提出舉措。

《個人資料保護法》修法兩大重點
修正個資法第48條非公務機關違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命改正,並提高罰鍰上限,處新臺幣(下同)2萬元以上200萬元以下罰鍰,若是情節重大者,處15萬元以上1,500萬元以下罰鍰。屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰。
第二,增訂個資法第1條之1規定,由個人資料保護委員會擔任個資法主管機關。行政院將積極推動設置個資保護獨立監督機關,以呼應去年8月12日憲法法庭第13號判決,要求3年內完成個資保護獨立監督機制之意旨,解決目前個資法分散式管理下之實務監管問題,並與國際趨勢接軌。
國發會表示,本次藉由修正裁罰方式及額度,以回應各界普遍反映業者違反安全維護義務罰責過低,且「先命改正」後處罰的方式,無法督促業者強化個資的資安維護。