1 / 141

資訊安全與個人資料保護

桃園縣政府. 資訊安全與個人資料保護. 調查局 電腦偵辦科 錢世傑. About me. 經歷 4 年外勤經驗 - 台北市調查處。 9 年防制電腦犯罪工作經驗。 學歷 中原大學財經法律研究所碩士 ( 網路通訊監察 ) 台北大學資訊管理研究所碩士 ( 數位證據採證 ) 中正大學博士 ( 數位證據 ) 本領域相關著作 電腦鑑識與企業安全 圖解數位證據 ( 預計今年改版 ) 個人資料保護法. 2004/1. 2013/01. 2009/11. 演講資歷.

chiquita-clayton
Download Presentation

資訊安全與個人資料保護

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 桃園縣政府 資訊安全與個人資料保護 調查局 電腦偵辦科 錢世傑

  2. About me • 經歷 • 4年外勤經驗-台北市調查處。 • 9 年防制電腦犯罪工作經驗。 • 學歷 • 中原大學財經法律研究所碩士(網路通訊監察) • 台北大學資訊管理研究所碩士(數位證據採證) • 中正大學博士 (數位證據) • 本領域相關著作 • 電腦鑑識與企業安全 • 圖解數位證據(預計今年改版) • 個人資料保護法 2004/1 2013/01 2009/11

  3. 演講資歷 司法院數位證據講座、法務部電腦犯罪研討會進階班講座、台北地檢署數位證據講座、金融研訓院資安講座 代訓xxxxx單位、x國特警隊、x國檢察官等資安講座 行政院科顧組、立法院、監察院、台大法律系承辦司法官(司法事務官)數位證據講座、台北市勞工局、台北市教育局、高雄市勞工局、財政資訊中心、國立教育廣播電台、新竹縣政府、衛生署、國父紀念館、集保中心、證期會、高工局、政風會報、緯來電視、澎湖縣政府、中原大學、東海大學、崑山科大、弘光科技大學、交通部、台北市政府資訊局、內政部營建署、教育部、新竹縣、振興醫院、聯合信用卡中心、本局內部教育訓練等 曾赴資安雜誌、電台擔任研討會講座 演講議題涵蓋數位證據、資訊安全、電腦犯罪、個資保護及法律常識等。 聲明: 本簡報檔相關圖片,部分引自網路媒體。 本簡報檔可供貴單位內部分享、研析(轉成PDF檔),請勿外傳使用。

  4. 個人資料保護法時代的來臨 99/5/26就修正通過, 101/10/1才正式施行 現在還有條文尚未施行,而且已經準備修法

  5. 中國信託資料外洩案

  6. 中國信託資料外洩案

  7. 中國信託資料外洩案

  8. 中國信託資料外洩案

  9. 中國信託資料外洩案

  10. 個資法資料外洩的民事責任 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 (個資法§28Ⅰ) 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 (個資法§29Ⅰ)

  11. 現行民事賠償 財產上與非財產上損害賠償。 (難以計算)每人每一事件新臺幣500以上2萬元以下計算 最高總額以新臺幣2億元為限 (個資法§28、29) 2億元 2000萬 舊法 新法

  12. 損害賠償適用法規 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。 (個資法§31) 公務機關 國家賠償法 損害賠償 非公務機關 民法

  13. 生活週遭充滿相關案例 2006年開始,我國開始重視個人隱私 隨處都可看到與資訊安全、個人資料保護相關的案例

  14. 本局駭客恐嚇實案(2)-MSN 山寨私服 恐嚇駭客的MSN 搜索DDoS攻擊的駭客,希望找到MSN對話紀錄,恐嚇私服業者的內容

  15. DDoS攻擊程式

  16. 國際大事件 微基解密、twitter假資訊導致股票暴跌、Snowden事件 國際犯罪組織正用各種操作工具,入侵竊密,甚至於換取不法利潤

  17. 面臨的資安威脅種類 資安威脅不斷 P2P分享軟體、無線網路風險、社交工程攻擊、 網頁掛馬、網站釣魚、隨身碟風險、社群網絡等 17

  18. 小心被騙個人資料 Google備用地址電子郵件驗證 不明電子郵件要來加入你的Google 點選左列連結,狀態列會出現實際連結位址,檢視是否與狀態列出縣之內容相符

  19. 小心被騙個人資料 請你登入,如果你輸入密碼,個人資料將會被攻擊者取得

  20. 社交工程的攻擊:購物網站 最近許多朋友的帳號遭盜用,接著就用被盜用的帳號,將所有人加進來。 請收到這類型邀請,要通知你的朋友其帳號遭到盜用。

  21. 「無限循環」聊天內容(1) A: 在嗎? A: just sent you a nudge. 我: hi A: 方便幫我個忙嗎 我:怎麼了 A: 麻煩你幫我買幾張麥卡可以嗎 我:什麼叫做麥卡 A:711全家都有。跟店員說買mycard他們就瞭解了 我:可是你是誰啊!?我不記得你是誰了耶 A: 李 RICH啊!忘了嗎?

  22. 聊天的內容(2) 我: 誰。 中文名字是什麼 A: 李 RICH啊 我: 是我的同學嗎? 一張卡多少錢啊 A: 嗯嗯 我: 恩什麼 A: 幫我買2張3000點的 我:我沒有買過耶 可不可以仔細教我 A: 跟店員說買麥卡2張3000點的就好 我: 什麼是麥卡

  23. 聊天的內容(3) A: 智冠科技的儲值卡啊!現在方便幫我跑一趟嗎 我: 如果你是我同學,我是可以考慮啊!雖然我家在大園,要開車出去,你不方便嗎? A: 方便的話就不會麻煩你的啦 我: 發生什麼事情了 A: 沒啊!現在可以幫我跑一趟嗎

  24. 聊天的內容(4) 我: 那你家樓下的便利商店應該比我近一些,因為我家在大園,便利商店有一小段距離 A: 我附近的便利商店 IBON機壞了,就麻煩你幫我跑一趟啦 我:IBON是什麼 A: 買麥卡的啊!幫幫我可以嗎

  25. 聊天的內容(5) 我: 奇怪了我怎麼都沒有看到這個IBON Because the distance is so long from 7-11 to my house, so I need to ask you clearly... ...(許久沒有回應)... 看來你很久沒學英文了,想說我們英文系的可以用英文來練習對談一下。我的意思是說,因為距離7-11很遠,所以我要問清楚 A: 由于距离太长,从7-11到我家,所以我要问你清楚...

  26. 聊天的內容(6) 我: 免得白跑一趟 A: 我知道啊 我: 你現在在大陸出差喔 A: Too much trouble you,嗯嗯!About how long ah 我:wow, ur emglish writing ability is so terrible A: Go to help me 我:ok, but could you tell me what the ibon is A: 你很機車啊 我:motorcycle? A: x你x 我:wow, so terrible, are you angry?

  27. facebook的陷阱 點進去看時會看到一個畫面,就是按三角形PLAY可以看影片的畫面。 其實上面隱藏了一個透明的「讚」 你以為按到了PLAY,其實是按到了讚。

  28. facebook的陷阱 許多人莫名奇妙都有了這個分享,又不知道馬上刪除並收回讚,所以大家都知道你看了讚,包括女生。 臉書團隊知道後,就處理掉了。

  29. 螢幕視訊記得貼個膠帶 貼上膠帶即可 有需要時再拿下來 不要玩脫光光視訊遊戲

  30. 拍攝行為 未滿18歲:兒童及少年性交易防制條例第27,28條 張貼上網 妨害風化罪 侵入偷看 刑法第358,359條 看到轉寄者 妨害風化罪 民事:侵權行為損害賠償 行政上:被退學 ○大女生自拍事件

  31. 車尾公布司機姓名 苗栗縣大客車司機對於車尾必須標示司機姓名表示反彈,認為曝光其隱私,有違憲、侵犯司機人權之虞。但監理站人員與苗栗地方法院法官則認為:基於公益需求,如:車輛管理、犯罪預防,而適度限縮個人權益,應無違憲問題。

  32. 特別法─汽車運輸業管理規則 汽車運輸業管理規則第19條第7項 營業大客車應於車內駕駛座旁或上下車門顯明處標示駕駛人姓名及牌照號 碼,並張貼公司服務電話及該管公路主管機關申訴電話;車外尾部汽車牌 照上方顯明處應標示駕駛人姓名及該管公路主管機關申訴電話。

  33. 人肉搜索,小心觸法

  34. 媒體例外 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。(個資9 I) 有下列情形之一者,得免為前項之告知:(個資9 II) 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

  35. 實施通過後的劇烈變化 到處都有公告、通知,希望您能同意授權 個資法的處罰與民事責任,讓企業省思個人資料的重要

  36. 遠傳的公告

  37. 相關法令─告知事項 • 個資法第8條 • 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時,應明確告知當事人下列事項: • 一、公務機關或非公務機關名稱。 • 二、蒐集之目的。 • 三、個人資料之類別。 • 四、個人資料利用之期間、地區、對象及方式。 • 五、當事人依第三條規定得行使之權利及方式。 • 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 • 有下列情形之一者,得免為前項之告知: • 一、依法律規定得免告知。 • 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。 • 三、告知將妨害公務機關執行法定職務。 • 四、告知將妨害第三人之重大利益。 • 五、當事人明知應告知之內容。

  38. 起訴書OOO 個資法上路,各地院檢公文書類,紛紛以圈圈取代兩造姓名等資訊,其中尤以台中地檢署的「台中市原民會主任秘書等人貪污案」起訴書,竟連市政府單行法規「場地及宿舍使用管理辦法」也出現一長串OOO,整份起訴書一萬一千字,有近3成以OOO代替,全篇沒人讀得懂、離譜至極。 有必要嗎?

  39. 相關法令─利用(公務) • 個資法第16條 • 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法 定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者 ,得為特定目的外之利用: • 一、法律明文規定。 • 二、為維護國家安全或增進公共利益。 • 三、為免除當事人之生命、身體、自由或財產上之危險。 • 四、為防止他人權益之重大危害。 • 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事 人。 • 六、有利於當事人權益。 • 七、經當事人書面同意。

  40. 相關法令─利用(非公務) 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:(個資19) 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。

  41. 新聞發布與偵查不公開 • 刑事訴訟法第245條第3項 • 檢察官、檢察事務官、司法警察官、司法警察、辯護人、告訴代理人或其他於偵查程序依法執行職務之人員,除依法令或為維護公共利益或保護合法權益有必要者外,偵查中因執行職務知悉之事項,不得公開或揭露予執行法定職務必要範圍以外之人員。 • 例如為避免SARS疫情擴大,或塑化劑持續危害人體,適時將偵辦進度與成果讓民眾知悉。

  42. 討債

  43. 個資法第18條 • 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人 資料被竊取、竄改、毀損、滅失或洩漏。

  44. 遠東銀行資料外洩事件─非公務機關第一起 • 遠東銀行101年11月22日發布聲明稿表示,經調查,部分信用卡客戶的申請資料遭外洩,是該行離職的方姓員工個人不法行為,遠東銀行將對他及相關竊取資料者提出民事、刑事訴訟。 事件發生 查明 民事賠償 通知

  45. 個資法基本規定 個資法第12條指出公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。 • 註解:通知後,即可能面對當事人的民事賠償責任。

  46. 如何通知?(1) 本法第12條所稱適當方式通知,係指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。(施細§22Ⅰ) 依本法第12條通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。(施細§22Ⅱ)

  47. 如何通知?(2) 大家最想要的方式應該是「網際網路」通知? 但是要以此方式通知,必須符合耗費過鉅的要件。 舉個例子,假設外洩資料是戶政資料,有1,000筆資料外洩,每筆資料郵寄5元,總共只需要5,000元,並不屬於耗費過鉅。 但是1,000筆資料後面加個「萬」為單位,那郵寄費用也要加個「萬」,則屬於「耗費過鉅」。

  48. 屏東縣政府資料外洩事件─公務機關第一起 • 屏東愛鄉護土自救會反對縣府興建火葬場,卻赫然發現成員的身分證字號、電話、地址成了環境說明書附錄資料,放在環保署網站上,供人點閱、下載,個人資料「全都露」。自救會昨天按鈴控告縣長曹啟鴻等人違反個人資料保護法,求償兩百萬元。 事件發生 民事賠償

  49. 高關懷名單外洩(1)

More Related