個資法專欄／紙本文件沒顧好　旅客個資大曝光

文／個資法專家幫同事訂飲料，也可能因此觸犯個資法還丟掉飯碗！高鐵曾發生員工將旅客死亡事故通報單回收用來訂飲料，導致旅客個資外流。此事件的處理過程通報單，紙張背面寫滿「紅茶半S少I」等訂飲料資訊，訂完飲料後，這張單子就被隨意棄置地上，導致旅客猝死事件曝光、當事人資料外流。

一般企業或機關所保存的個資可分爲「紙本文件」與「電子檔案」兩種。 通常這些個資文件都是散落在電腦各資料夾內，或是辦公桌各處，像隨手寫的便利貼、紙條、傳真、回收二次利用的影印紙、甚至名片等，都含有個資資料在內。若是沒有加以控管並訂定安全維護計劃，發生個資外泄的機率會非常高。

資安保護專業公司優碩科技曾表示：「新版個資法通過，資料保護範圍不再只是電腦資料，紙本資料成爲最大隱憂。企業應強化紙本文件本身的安全性，例如讓非授權者無法進行文件傳送、影印、傳真等紙本文件鎖的功能。一般人如果沒有駭客技術，很難取走數位資料，至於紙本資料存放場所則是鐵櫃或木櫃（最常見的就是過期檔案），通常不會上鎖，不需要太複雜的技術就能輕易取走。若我們將所有的紙本文件做好蒐集、規劃、掃描檔案存成電子檔，並轉成可搜尋文字的PDF檔。在這過程中，我們所要做的動作，只有將文件放入掃描器中，並按下掃描啓動鈕，等待的過程中，我們可以使用電腦繼續處理其他事情，相當方便。 再利用DRM/ DLP(資料外泄防制系統)來設置金鑰，保護檔案本身，也能保護公司與自身安全。」

新版個資法已上路，要是再發生相同事件，恐怕就不是將員工懲戒開除這麼簡單了；依個資法規定，公務機關違反本法，致個人資料遭到不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗拒所致者，不在此限；同條第3項「…如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣500元以上20,000元以下計算」；第29條第1項「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限」，而同條第2項則規定一體適用第28條之法院覈定賠償標準。若是沒有妥善的處理這些指本文件及電子資料，經營者或是負責人員都可能必須負起民事、刑事和行政責任「依個資法 41 條 1, 2 項規定，違規「蒐集」或「利用」個資，最重可處五年有期徒刑。」這種禁令的道德評價不強，在組織行爲中，經常各級人員 在不知不覺中觸犯。