●諮詢● - 請問大家有關隱私權的問題

[cwvdavid]

以下是沒有做好資安處理時，所收到的信...

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
國家資通安全會報 技術服務中心

資安預警警訊

發布編號：ABCD-EFG-2010-0001
發布時間：2010/07/19 13:00:02
事件類型：資訊洩漏

事件主旨：湯姆股份有限公司全球資訊網 敏感資料外洩預警通知

事件描述：
技術服務中心發現　貴單位所屬機關網頁伺服器上之網址：「http://www.123456789.com.tw/tom.htm」之「湯姆市 oo學校 教師名冊」，
文件內容包含姓名、身分證字號等個人敏感資料，總計35筆。

請您連絡伺服器管理者檢查伺服器的文件存取限制設定是否正確，以避免資料外洩。


建議措施
1.於網站根目錄中建立名為「robots.txt」之文字檔，檔案內容為「Disallow: /epaper/」，以限制搜尋引擎存取存放敏感性文件資料的目錄。
2.機敏資料應設定存取控制，限制只有驗證過的使用者才能存取該項資源，建議進行帳號密碼驗證及考量限制特定IP及網域才能登入並對連線進行加密。
3.欲公開之文件資料，應確認文件內不含個人隱私資料或其他敏感性資訊，或應將其經適當改寫後再行公開(如只公布身分證號部份數字)。
如果您不是處理此一事件的適當人員，請您通知我們。

參考資料
此類通告發送對象為通報應變網站登記之資安聯絡人。
若貴 單位之資安聯絡人有變更，可逕自登入通報應變網站（https://www.ncert.nat.gov.tw/）進行修改。
若您仍為貴 單位之資安聯絡人但非本事件之處理人員，請協助將此通告告知相關處理人員。



如果您對此通告的內容有疑問或有關於此事件的建議，請勿直接回覆此信件，請以下述聯絡資訊與我們連絡。
國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)

地 址： 台北市富陽街116號
聯絡電話： 02-27339922
傳真電話： 02-27331655
電子郵件信箱： service@icst.org.tw

[LKKK]

其實小老兒打從開始就沒有打算要回這樓的文

因為史版高手如雲，應該~~怎麼輪也輪不到小老兒來回文

不過這件事發展到現在好像已經牽涉到公領域，也就是公眾利益之事了
不出面說幾句話好像會良心不安
~~~儘管小老兒好像原本也沒什麼良心
................................

十數年前詐騙行為猖獗
時有耳聞學生在上學時間，家長接到詐騙電話，謊稱在學子弟已被挷架
家長在短時間之內只能從查號台查知學校電話號碼
又要幾經轉接，會讓緊急使用人感覺並不便民

所以教育部通令全國各級院校
在網站上公佈各系所班級，主要師長的聯絡電話及姓名
此舉主要為方便學生及家長緊急連絡或急事通報時使用
並非提供予非特定人士商業使用

請勿任意濫用此一寶貴資源，以免有負政府公開教師資訊原本的美意
..................................

也許在去年有人問到樓主提問的問題
小老兒可以非常簡短的回覆

不可以

因為依舊法 "電腦處理個人資料保護法" <--要參考法令條文請點連結
第十九條之規定

　　非公務機關未經目的事業主管機關依本法登記並發給執照者，
　　不得為個人資料之蒐集、電腦處理或國際傳遞及利用。
　　徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人，
　　應經目的事業主管機關許可並經登記及發給執照。

罰則甚重，依同法第三十八條

　　違反者，由目的事業主管機關處負責人新臺幣二萬元以上十萬元以下罰鍰，
　　並令限期改正，逾期未改正者，按次處罰之

..................................
今年99年5月26日

"個人資料保護法"修正案通過並公佈實施，同時癈止"電腦處理個人資料保護法"

新法取代舊法。新法修正後立法更為嚴謹，罰則也相對提高

在 "個人資料保護法" <--要參考法令條文請點連結
第二條中明確界定什麼是個人資料

　　個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護
照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因
、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及
其他得以直接或間接方式識別該個人之資料。

樓主所稱蒐集到的，姓名、職業、聯絡方式等都在個人資料法保護的範圍之內

是否可以就網站上公開的資訊，供自已或法人使用？

可以分二個層次來說明

一、如果蒐集來的資料只供"個人"聯絡使用，於法並不禁止 請參考第五十一條
二、如果是非政府機關的法人公司戶，表面上看來就網路已公開的資料，依第十九條第三款規定是可以蒐集及處理

不過，同條第十九條第七款有特別註明：
　　個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利
用，顯有更值得保護之重大利益者，不在此限

也就是說，只要各大學網站上有註明，"網站中內容不得為商業用途之使用"等字眼等，是不可以蒐集及使用的

小老兒，隨意選了幾個大學網站，看了一下，每個學校幾乎都有類似聲明
蒐集者不能以"沒看到"或"不知有此規定"就能免責

違反的罰則重不重？

嘿嘿嘿......

如果是小老兒，不會去碰的~~

依同法第二十八條、第二十九條規定

　　個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。
　　被害人雖非財產上之損害，亦得請求賠償相當之金額
　　如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。
　　其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。

請注意，此法規定是一罪一罰，如果您寄了一百封廣告，如果每件都罰，就以最低金額來算，也有新台幣五萬了。
且法中規定損害，不一定是財產上之損害，被損害人之時間及精神折磨都可是以求償的。
追訴的時效，依同法第三十條規定，長達二年。

那如果學校書面同意，貴公司可以使用從網上取得的資訊供商業使用，是否就可以放心的使用了？

並不是~~~

就算學校書面同意貴公司可以使用網站上的資訊
還要注意以下二點

同法第二十條規定

一、非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。
二、非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用

也就是說在第一次行銷時，要在廣告函或電話中明白告知被行銷人，他可以拒絕接受行銷。如果廣告函中回拒的方式是電話連絡
貴公司需負擔電話費。也就是得給客人一隻免付費的電話。如果沒有註明拒絕方式。那客戶的任何拒絕方式，貴公司都得支付費用
如果是小老兒，就會請律師，發一封回絕函，律師發一封律師信的費用。約新台幣五千元至五萬元

似乎寫太長了....

其它就簡免了吧！


..................................
結論：

在公開網站上公開的資訊，並非可以任意使用，還得遵守相關法令規定，否則後果將自行負擔

[cwvdavid]

還是LKKK講的比較詳細


很多廣告信件內也都有附加一行：如果您不願意收到xxx廣告信，請直接點選本連結...
這一行就是在鑽法律漏洞...實際上真的回覆之後，

你的Email不但會被記錄為有效Mail，還會收到更多的廣告．．．
但xxx行業的廣告信真的不會再寄給你了.....

結果就變成：少了一家的廣告，多了數十家的廣告．．．．
所以很多人都說：看到廣告信直接刪除，千萬別回信．．．



．．．．．
結論：請湯姆不要做，直接將該問題反映給主管，
以免將來出了事，公司以及主管會說：只叫你去找資料，並沒叫你去做違法的事
結果就變成...湯姆是成年人，雖然是公司要求收集料，但湯姆沒有在第一時間向公司報告，
以致於公司完全不知道湯姆是以非法方式收集資料．．．．．．
最後，公司都沒事，員工反而得死．．．

[lutunhsiang]

引用:

作者: cwvdavid

還是LKKK講的比較詳細


很多廣告信件內也都有附加一行：如果您不願意收到xxx廣告信，請直接點選本連結...
這一行就是在鑽法律漏洞...實際上真的回覆之後，

你的Email不但會被記錄為有效Mail，還會收到更多的廣告．．．
但xxx行業的廣告信真的不會再寄給你了.....

結果就變成：少了一家的廣告，多了數十家的廣告．．．．
所以很多人都說：看到廣告信直接刪除，千萬別回信．．．



．．．．．
結論：請湯姆不要做，直接將該問題反映給主管，
以免將來出了事，公司以及主管會說：只叫你去找資料，並沒叫你去做違法的事
結果就變成...湯姆是成年人，雖然是公司要求收集料，但湯姆沒有在第一時間向公司報告，
以致於公司完全不知道湯姆是以非法方式收集資料．．．．．．
最後，公司都沒事，員工反而得死．．．

我打算明後天跟我的直屬主管私下開會,把這事情說出來
謝謝大家的幫忙

[Russell]

引用:

作者: tom710509

我打算明後天跟我的直屬主管私下開會,把這事情說出來
謝謝大家的幫忙

在網路上所公布有關教職人員的E-Mail及一切所有資料，是在『個人資料保密法』的保障之內，但是學校是否有加『隱私權保護宣告』的內容所提及其網站內容不得移做別的商業上、或蒐集而侵犯其隱私，不然是屬於『公共財產』的一部份。如有錯誤請指出！！