消費者個資外洩問題之探討─以旅館業為例
撰成日期:110年10月
更新日期:110年10月19日
資料類別:議題研析
作者:彭文暉
編號:R01484
一、題目:消費者個資外洩問題之探討─以旅館業為例
二、所涉法規
消費者保護法、個人資料保護法、個人資料保護法施行細則、觀光旅館業個人資料檔案安全維護計畫辦法
三、探討研析
(一)近日報載 ,軍人之友社開設之國軍英雄館,其訂房系統遭駭客入侵,住客個人資料(下稱個資)全被詐欺集團掌握,多位民眾遭歹徒假冒國軍英雄館人員以「VIP升等會員享優惠」、「系統作業錯誤」、「至ATM操作解除分期付款」等話術詐騙而匯款至人頭帳戶。軍人之友社除呼籲消費者注意詐騙手法,並表示所委外經營訂房系統之廠商已緊急升級資安防護,改善系統及軟硬體設備,並使用亂碼隱藏顧客個資。
(二)由於科技數位化發展及社會交易需要,個人資料經常被他人大量、詳盡蒐集、保存及利用,民眾之(資訊)隱私權、資訊自主權厥有遭不法侵害之風險。由是,個人資料保護法(下稱個資法)要求非公務機關(中央或地方機關以外之自然人、法人或團體)負有個資安全維護與防止外洩之義務,即該法第27條明定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。(第1項)中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。(第2項)......」;違反上開第1項或未依第2項訂定相關計畫或處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣(下同)2萬元以上20萬元以下罰鍰(同法第48條)。
(三)現今個資多以電子檔案格式儲存,民眾日常生活幾已變成數位資訊紀錄,一旦遭竊盜或濫用,除了隱私、資訊等基本權利受損外,並可能引發相關犯罪或社會恐慌。鑒於個資外洩尚難由當事人自行察知,必須透過「通知」機制使當事人知悉,俾採行救濟措施。因此,個資法第12條明定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」
四、建議事項
(一) 主管機關應加強稽查,督導業者落實執行個資保護措施
按消費者保護法第4條明定,企業經營者對於其提供之商品或服務,應重視消費者之健康與安全,提供消費者充分與正確之資訊,及實施其他必要之消費者保護措施;個資法第27條亦規定,非公務機關應採行「適當之安全措施」,防止個資被竊取或洩漏。查個資法施行細則第12條第2項規定,上開安全措施包括配置管理人員及相當資源;界定個資範圍;個資風險評估及管理機制;事故之預防、通報及應變機制;個資蒐集、處理及利用之內部管理程序;資料安全及人員管理;認知宣導及教育訓練;設備安全管理;資料安全稽核機制;使用紀錄、軌跡資料及證據保存等事項。就旅館業而言,目前交通部業依個資法第27條第3項訂有「觀光旅館業個人資料檔案安全維護計畫辦法」 作為相關規範。考量個資「商品化」之趨勢,為確保個資存取安全,相關主管機關允應加強稽查,督導旅館業者落實執行個資保護措施,以免消費者個資遭不法竊取或外洩。
(二) 研修相關法令,強化個資外洩事故通知機制
按非公務機關如發生個資外洩事故,依個資法第12條規定,應「查明後以適當方式通知當事人」。所稱「適當方式」,依同法施行細則第22條第1項規定,係指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式。但需費過鉅者,得以網際網路、新聞媒體或其他適當公開方式辦理。至於通知當事人之「內容」,同條第2項則僅規定應包括個資被侵害之事實及已採取之因應措施。惟查現行以「違反個資法」為前提、「查明後」為時點、「當事人」為對象及「個資侵害事實與所採因應措施」為內容之個資外洩通知機制,顯與歐盟2018年施行之「一般資料保護規則」(General Data Protection Regulation,GDPR)有所差距 ,難以維護個資當事人之權益,主管機關允宜參照先進國家法制儘速研修相關法令,強化個資外洩事故之通知機制,並與國際規範潮流接軌。
撰稿人:彭文暉
二、所涉法規
消費者保護法、個人資料保護法、個人資料保護法施行細則、觀光旅館業個人資料檔案安全維護計畫辦法
三、探討研析
(一)近日報載 ,軍人之友社開設之國軍英雄館,其訂房系統遭駭客入侵,住客個人資料(下稱個資)全被詐欺集團掌握,多位民眾遭歹徒假冒國軍英雄館人員以「VIP升等會員享優惠」、「系統作業錯誤」、「至ATM操作解除分期付款」等話術詐騙而匯款至人頭帳戶。軍人之友社除呼籲消費者注意詐騙手法,並表示所委外經營訂房系統之廠商已緊急升級資安防護,改善系統及軟硬體設備,並使用亂碼隱藏顧客個資。
(二)由於科技數位化發展及社會交易需要,個人資料經常被他人大量、詳盡蒐集、保存及利用,民眾之(資訊)隱私權、資訊自主權厥有遭不法侵害之風險。由是,個人資料保護法(下稱個資法)要求非公務機關(中央或地方機關以外之自然人、法人或團體)負有個資安全維護與防止外洩之義務,即該法第27條明定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。(第1項)中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。(第2項)......」;違反上開第1項或未依第2項訂定相關計畫或處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣(下同)2萬元以上20萬元以下罰鍰(同法第48條)。
(三)現今個資多以電子檔案格式儲存,民眾日常生活幾已變成數位資訊紀錄,一旦遭竊盜或濫用,除了隱私、資訊等基本權利受損外,並可能引發相關犯罪或社會恐慌。鑒於個資外洩尚難由當事人自行察知,必須透過「通知」機制使當事人知悉,俾採行救濟措施。因此,個資法第12條明定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」
四、建議事項
(一) 主管機關應加強稽查,督導業者落實執行個資保護措施
按消費者保護法第4條明定,企業經營者對於其提供之商品或服務,應重視消費者之健康與安全,提供消費者充分與正確之資訊,及實施其他必要之消費者保護措施;個資法第27條亦規定,非公務機關應採行「適當之安全措施」,防止個資被竊取或洩漏。查個資法施行細則第12條第2項規定,上開安全措施包括配置管理人員及相當資源;界定個資範圍;個資風險評估及管理機制;事故之預防、通報及應變機制;個資蒐集、處理及利用之內部管理程序;資料安全及人員管理;認知宣導及教育訓練;設備安全管理;資料安全稽核機制;使用紀錄、軌跡資料及證據保存等事項。就旅館業而言,目前交通部業依個資法第27條第3項訂有「觀光旅館業個人資料檔案安全維護計畫辦法」 作為相關規範。考量個資「商品化」之趨勢,為確保個資存取安全,相關主管機關允應加強稽查,督導旅館業者落實執行個資保護措施,以免消費者個資遭不法竊取或外洩。
(二) 研修相關法令,強化個資外洩事故通知機制
按非公務機關如發生個資外洩事故,依個資法第12條規定,應「查明後以適當方式通知當事人」。所稱「適當方式」,依同法施行細則第22條第1項規定,係指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式。但需費過鉅者,得以網際網路、新聞媒體或其他適當公開方式辦理。至於通知當事人之「內容」,同條第2項則僅規定應包括個資被侵害之事實及已採取之因應措施。惟查現行以「違反個資法」為前提、「查明後」為時點、「當事人」為對象及「個資侵害事實與所採因應措施」為內容之個資外洩通知機制,顯與歐盟2018年施行之「一般資料保護規則」(General Data Protection Regulation,GDPR)有所差距 ,難以維護個資當事人之權益,主管機關允宜參照先進國家法制儘速研修相關法令,強化個資外洩事故之通知機制,並與國際規範潮流接軌。
撰稿人:彭文暉