全站文章 iT邦幫忙
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號密碼
聯絡客服
訂閱周刊
讀者服務
13' E政府專刊no.7(48)
13' iTcloud No.3(47)
12' E政府專刊no.6(46)
12' 個資法專刊No2(45)
12' iTcloud No.2(44)
12' e政府專刊No.5(43)
12' 個資法專刊(42)
11' CIO專刊(41)
11' e教育專刊No.3 (40)
11' e政府專刊No.4 (39)
11'iTcloud專刊(38)
10' e教育專刊No.2 (37)
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
金融業個資檔案安全維護辦法出爐
文/黃彥棻 (記者) 2013-12-12
分享到facebook
金管會要求最晚2014年3月須符合。適用行業最廣,軌跡資料至少保存5年

金管會在11月8日公布了金融業個資安全維護辦法,並依先前公聽會決議,要求金融業者於4個月內完成法規遵循措施。達文西法律事務所主持律師葉奇鑫表示,這是已公布的各產業個資安全維護辦法中,適用產業別最廣的辦法,連新興的第三方支付產業都適用。

這份金管會用來規範金融業者個資維護措施的「指定非公務機關個人資料檔案安全維護辦法」,適用產業別包括了金融控股公司、銀行業、證券業、期貨業、保險業、電子票證業、其他經金管會公告的金融服務業,以及金管會主管的財團法人,第三方支付也因屬於電子票證業而適用。

金管會法律事務處承辦科員曾傑表示,金管會公布的版本,主要是參考法務部公布第二版、第三版的參考範例和公平會的版本綜合而成。

該辦法雖從公布日開始實施,不過,曾傑表示,根據今年8月金管會公聽會的會議記錄決議,同時參考「金融消費者保護法」的精神和實務操作需求,金管會檢查局會給予各金融機構約4個月緩衝期,完成相關辦法的制定與資安措施的調整。以此推算,各金融機構最晚需在2014年3月時,完全遵循這個辦法的規定。

在法條內容上,正式版本和預告版本最大差異是,正式版本適用範圍排除了會計師業,曾傑解釋,因為會計師和律師一樣,都是屬於高度自律性的產業且許多是個人執業,因此最後予以排除。

金融機構個資外洩需主動通報主管機關
曾傑表示,由於金融機構擁有詳細的個資,一旦發生重大個資外洩事件,影響範圍甚廣,加上參考「銀行業通報重大偶發事件之範圍與適用對象」及「保險業通報重大偶發事件之範圍與適用對象」相關規定,金管會在該辦法中強制規定,相關金融機構一旦發生重大個資外洩事件時,強迫賦予主動通報主管機關的責任。

「這也是其他主管機關公布的版本中,少見的規定。」他說。由於金融機構高度仰賴IT系統運作,一旦出事,受影響的個資往往數量龐大,為了讓主管機關能即時掌握事件發生波及的範圍,才明文要求主動通報。例如,之前中國信託網站個資外洩5萬多筆個資,中國信託第一時間也主動向銀行局進行通報,並持續更新處理進度。

金管會的辦法第6條中特別指出,企業發生重大個資外洩事件後,必須針對外洩的原因研議相關的矯正預防措施,葉奇鑫指出,這是目前唯一一個版本強迫外洩個資單位的矯正預防措施,必須經由公正、獨立且取得相關公認認證資格的專家,進行整體診斷及檢視。不過,辦法中沒有明定專家資格,將依照每個案例各自評估。

電子商務服務專屬7項資安措施要求
這次金管會公布的辦法中,特別針對適用產業推出的電子商務服務進行各種資安措施的規定。曾傑表示,目前各類非公務機關為了促進交易效率,都會提供類似網路銀行、網路下單等電子商務服務系統。

為了提供明確的參考建議,金管會則在辦法第十條規定,非公務機關提供電子商務服務系統時,至少應採取包括:使用者身分確認及保護機制;個人資料顯示的隱碼機制;網際網路傳輸採用安全加密機制;應用系統於開發、上線、維護等各階段軟體驗證與確認程序;個人資料檔案及資料庫應該進行存取控制與保護監控措施;防止外部網路入侵對策;非法或異常使用行為之監控與因應機制等七項資安措施。

不只針對電子商務服務明文規範資安措施,曾傑表示,包括各種紙本、儲存媒體甚至是備份資料的保護,為了便利金融機構掌握重點,金管會資訊服務處也協助法律事務處將相關的資安保護措施,明列在該辦法中。

其他針對軌跡資料的留存,金管會也參考個資法和其他法條規定,明定至少要保存5年的期限。曾傑說,透過明定保存年限,也讓相關金融機構更容易落實保護措施。因為個資法採取「舉證責任倒置」,舉證責任落在業者身上,曾傑認為,透過規範軌跡資料的保存作法,也有利於未來個資訴訟時的法庭舉證效力。


1 / 2 下一頁

分享到facebook

2014資安趨勢研討會
更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

電週文化事業版權所有、轉載必究 •Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome