昨天邦友SUNAllen問了金管會檢查局到底專不專業?我個人覺得金管會的人,不管哪個局處,都是從很基層的開始做起,所以都是具有專業性的。
我們工作ㄧ開始也不可能一下就是專業人員,如果專業不足,就要靠經驗來彌補,後天的努力還是可以彌補先天的不足,尤其金管會的工作,都是要配合各種法令的更新及各產業的變化,這些都是要長期的經驗的累積才行。
最近日劇半澤直樹裡的金融檢查廳的黑崎駿一(黑崎娘娘),那種特殊的專業嗅覺,當然不包括他的月下偷桃,不是念了一堆理論就表示能找出問題,還要有主角半澤直樹的挑戰,歷經各種失敗...才有戲唱...
所以愛因斯坦說 "專家都是訓練有素的狗。" 這是絕對的真理。
《有關資訊安全之違法事項:》
二、處分之法令依據:個人資料保護法第48條第4款
四、違反事實理由:
(一)對資料庫個資存取軌跡留存有欠完整,核與個人資料保護法第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第14條第1項規定不符。
金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法第14條第1項
(三)辦理客戶防制洗錢及打擊資恐之姓名及名稱檢核作業,對疑似命中資料庫名單之案件未進一步積極確認要保人身分,不利防制洗錢及打擊資恐作業之落實,核有有礙健全經營之虞。
(四)辦理網路環境管理、資訊安全防護措施、核心系統管理作業、資料庫之帳號及系統參數清查等作業,有欠妥適,核有有礙健全經營之虞。
《筆者分析》:
看完筆者貼出的第一個資安裁罰案件,可想而知是眼花撩亂,一堆法條,不過,筆者在這裡簡化成下列兩點:
(1) 各位可以看到,第二張圖中深藍色圈起來的「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」
,這個個資的安全計畫或處理方法,是主管機關可以要求一般的事業訂定的,不限於公開發行及上市櫃公司,只要再全國法規資料庫裡輸入「個人資料檔案安全維護計畫及處理辦法」,就可以查到近40筆各種行業的法令規定,筆者不細說法令相關規定,以下僅提供一個範本連結給各位參考:
依據法令:多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法
參考範本連結:https://pesticide.baphiq.gov.tw/web/file/download/%E4%BF%9D%E7%95%991%E5%8D%83%E7%AD%86%E4%BB%A5%E4%B8%8A%E5%80%8B%E8%B3%87%E4%B9%8B%E8%BE%B2%E8%97%A5%E8%B2%A9%E8%B3%A3%E6%A5%AD%E5%80%8B%E8%B3%87%E5%AE%89%E5%85%A8%E7%B6%AD%E8%AD%B7%E8%A8%88%E7%95%AB%E7%AF%84%E6%9C%AC.pdf
(2) 該裁罰事件,對於個資,主要強調對於個人資料的保護,個資保護必須遵守以下三點:
1. 使用情況紀錄。
2. 留存軌跡。
3. 相關證據。
此裁罰案主要就是希望,能夠妥善留下紀錄,尤其是不能外洩保存的紀錄,並且個人資料須保存五年,五年後就必須銷毀
,因此,一般企業,也應該遵守法令,依規定做好個資保護,尤其避免被竊取、竄改、毀損等等問題發生。