專家傳真－第三方風險 如果教育部是一家上市公司

我們可以苛責教育部嗎？

廣義而言這是一個數據管理不當的案例，數據可能遺失、被盜、被竄改，而個資（PII）是所有數據類型中最受到關注的，因爲連帶引發個人信用被濫用、個資曝光等問題。

依據《個人資料保護法》姓名、出生年月日、身分證統一編號、護照號碼、病歷、健檢、犯罪前科、財務情況皆屬個資保護範圍，毫無疑問「個人學習歷程」應該是受到《個資法》規範的。

此案與一般網路攻擊引發的資安事件有二大不同。

一、內憂比外患可怕，資安防護經常假想來自外部的攻擊，但實際案例證明「壞蛋與天兵」更是關鍵，前者是懷有惡意的現任或離職員工，後者是指粗心大意或風險意識較低的員工。

二、涉及與第三方及供應鏈合作與管理的議題。

本事件中第三方就是暨南大學，本身也是公務機關，依個資法第31條就算教育部向暨南大學求償，仍是由全民買單。

上市公司如何避免發生類似的事件？尤其涉及第三方合約，風險長、首席法律顧問與法遵長應該發揮什麼樣的功能？以下六點可供參考：1、由自身維護或合作伙伴和其他第三方持有的數據適用哪些法律規範？並且瞭解這些法規要求的安全措施跟保護機制，有哪些受管制的數據，其存在的位置與格式。

2、是否評估因PII保護不當被股東、投資人控告的可能性？相關法令要求採取合理或適當的措施來保護PII，但沒有提供更具體明確的要求，使得公司易遭到股東以管理不當爲由提出控訴，忽略集體訴訟或合併多起賠償個案的可能性。

3、與供應商、合作伙伴的合約中是否保護了公司本身？並且是否定期檢視合約？

4、與供應商、合作伙伴之間是否有管制風險？例如實施供應商風險計劃或是第三方風險管理（Third Party Risk Management, TPRM），TPRM是一套監督與管理風險的標準流程，適用在公司與主要合作伙伴及供應商之間。美國國家技術與標準局（NIST）則提出網絡供應鏈風險管理（Cyber Supply-Chain Risk Management, C-SCRM）。

5、是否有定期審查與更新穩私保護政策？涵蓋對客戶免責聲明之流程。重點在於訂定各項符合法規的標準與流程，並且確實遵守與定期的檢視並確實留下相關紀錄，乃至作必要之揭露。

6、資安保險相關評估與作業

在西方企業界資安保險已成爲網路時代的標準配備，即使執行完善的風險緩解措施仍然不可能免除剩餘財務損失，藉由資安保險可轉移剩餘風險，在此僅出列出與PII毀損與滅失有關的損失或額外支出，例如：數位鑑識、資料修護、危機處理、法規法令要求、抗辯費用及和解金或賠償金，但要注意在臺灣，監理機構的鉅額罰金是屬於除外不保項目。

公部門需設法律顧問

至於投保保額則是需要財務長與CEO共同確認的，因爲最終淨財務風險將反映在公司的財報上。

雖然各級機關都宣稱依法行政，但當今法規環境複雜多變，即使上市公司也不敢保證理解一切法令規定，況且公家機關沒有首席法律顧問、法遵長、風險長，投入人力與預算皆不足，只能說教育部或其他公務部門發生類似事件只是早晚的問題。