金融業個資檔案安全維護辦法出爐

金管會在11月8日公布了金融業個資安全維護辦法，並依先前公聽會決議，要求金融業者於4個月內完成法規遵循措施。達文西法律事務所主持律師葉奇鑫表示，這是已公布的各產業個資安全維護辦法中，適用產業別最廣的辦法，連新興的第三方支付產業都適用。

這份金管會用來規範金融業者個資維護措施的「指定非公務機關個人資料檔案安全維護辦法」，適用產業別包括了金融控股公司、銀行業、證券業、期貨業、保險業、電子票證業、其他經金管會公告的金融服務業，以及金管會主管的財團法人，第三方支付也因屬於電子票證業而適用。

金管會法律事務處承辦科員曾傑表示，金管會公布的版本，主要是參考法務部公布第二版、第三版的參考範例和公平會的版本綜合而成。

該辦法雖從公布日開始實施，不過，曾傑表示，根據今年8月金管會公聽會的會議記錄決議，同時參考「金融消費者保護法」的精神和實務操作需求，金管會檢查局會給予各金融機構約4個月緩衝期，完成相關辦法的制定與資安措施的調整。以此推算，各金融機構最晚需在2014年3月時，完全遵循這個辦法的規定。

在法條內容上，正式版本和預告版本最大差異是，正式版本適用範圍排除了會計師業，曾傑解釋，因為會計師和律師一樣，都是屬於高度自律性的產業且許多是個人執業，因此最後予以排除。

金融機構個資外洩需主動通報主管機關
曾傑表示，由於金融機構擁有詳細的個資，一旦發生重大個資外洩事件，影響範圍甚廣，加上參考「銀行業通報重大偶發事件之範圍與適用對象」及「保險業通報重大偶發事件之範圍與適用對象」相關規定，金管會在該辦法中強制規定，相關金融機構一旦發生重大個資外洩事件時，強迫賦予主動通報主管機關的責任。

「這也是其他主管機關公布的版本中，少見的規定。」他說。由於金融機構高度仰賴IT系統運作，一旦出事，受影響的個資往往數量龐大，為了讓主管機關能即時掌握事件發生波及的範圍，才明文要求主動通報。例如，之前中國信託網站個資外洩5萬多筆個資，中國信託第一時間也主動向銀行局進行通報，並持續更新處理進度。

金管會的辦法第6條中特別指出，企業發生重大個資外洩事件後，必須針對外洩的原因研議相關的矯正預防措施，葉奇鑫指出，這是目前唯一一個版本強迫外洩個資單位的矯正預防措施，必須經由公正、獨立且取得相關公認認證資格的專家，進行整體診斷及檢視。不過，辦法中沒有明定專家資格，將依照每個案例各自評估。

電子商務服務專屬7項資安措施要求
這次金管會公布的辦法中，特別針對適用產業推出的電子商務服務進行各種資安措施的規定。曾傑表示，目前各類非公務機關為了促進交易效率，都會提供類似網路銀行、網路下單等電子商務服務系統。

為了提供明確的參考建議，金管會則在辦法第十條規定，非公務機關提供電子商務服務系統時，至少應採取包括：使用者身分確認及保護機制；個人資料顯示的隱碼機制；網際網路傳輸採用安全加密機制；應用系統於開發、上線、維護等各階段軟體驗證與確認程序；個人資料檔案及資料庫應該進行存取控制與保護監控措施；防止外部網路入侵對策；非法或異常使用行為之監控與因應機制等七項資安措施。

不只針對電子商務服務明文規範資安措施，曾傑表示，包括各種紙本、儲存媒體甚至是備份資料的保護，為了便利金融機構掌握重點，金管會資訊服務處也協助法律事務處將相關的資安保護措施，明列在該辦法中。

其他針對軌跡資料的留存，金管會也參考個資法和其他法條規定，明定至少要保存5年的期限。曾傑說，透過明定保存年限，也讓相關金融機構更容易落實保護措施。因為個資法採取「舉證責任倒置」，舉證責任落在業者身上，曾傑認為，透過規範軌跡資料的保存作法，也有利於未來個資訴訟時的法庭舉證效力。個資維護內規層級到董事會

曾傑表示，因為個資雖然是金融機構的次要核心業務，不過，一旦個資發生重大外洩事件，將會大幅影響金融機構主要核心業務的進行。

為了強化管理高層對個資保護的重視，曾傑表示，金管會維護辦法第三條中，明定相關個資保護及處理方法訂定或修正，都應經企業董事會、理事會、常務董事會或常務理事會決議，或經其授權之經理部門核定。至於其他外商銀行或分公司，相關的辦法則必須經過該金融機構負責人簽署。

葉奇鑫表示，金管會要求相關辦法需經董事會同意的作法，目前也沒有其他法規命令有類似規定，但這樣的作法將大幅提升公司管理階層對於個資保護應該承擔的責任，對於個資保護成效具有正面效益。

▲永豐金控副總經理簡榮宗表示，該公司董事會已經通過「非公務機關個人資料檔案安全維護辦法」內部規範，並授權相關業務單位進行相對應的調整措施。

永豐金控董事會已下令分工
永豐金控法令遵循處副總經理簡榮宗表示，金管會在11月8日公布「非公務機關個人資料檔案安全維護辦法」後，適逢11月15日該金控召開董事會，個資執行小組便已經提案，由董事會同意通過相關的內規辦法後，並依照相關的職掌分工，授權各單位進行內部規定的研擬與制定。

對於永豐金控而言，他認為，從個資法公布後，就已經開始進行各種個資盤點、風險評鑑以及各種保護措施的調整，金管會公布此一個資檔案安全維護辦法後，主要是針對該辦法的細部規定，進行金控內部以及各個子公司作法上的微調。簡榮宗說，金管會在2013年已經將個資列為重要的重點檢查項目，除了比較小型、獨立的金融業者外，多數金融機構也都已經有相對應的作為。

簡榮宗指出，金融機構最擔心主管機關的金融檢查，他相信，如果主管機關將該辦法列為主要的金融檢查項目，相關金融機構為了滿足主管機關的要求，一定會在限期內完成。只不過，金管會檢查局何時將該辦法納入金融檢查的項目內，尚未有明確規定。

由於金融業牽涉眾多個資，主管機關在相關的個資檔案安全維護辦法上，也提供嚴謹、明確的遵循規範。葉奇鑫認為，這份金管會版的辦法，對於其他管轄眾多產業的主管機關，例如經濟部商業司、工業局、國家通訊傳播委員會等，都具有參考價值。

不過，還是有許多主管機關尚未制定指定產業的個資檔案安全維護管理辦法，像是，經濟部商業司雖然是擁有大量個資的電子商務業者的主管機關，委由資策會研擬的草案中，卻是以零售業者作為指定產業，與一般預期有極大的落差。再者，國家通訊傳播委員會採取委員會作業模式，目前個資檔案安全維護辦法尚未排近委員會的議程。文⊙黃彥棻

資料來源：金管會，iThome整理，2013年11月