個資法不只是IT部門的事

訂閱電子報│RSS訂閱 │手機版

全站文章

iT邦幫忙

iThome Online提供免費電子報，現在就訂，最新IT訊息每日寄達。

iThome 每日新聞報

iThome 產品技術報

加入iThome Online會員，立即使用討論區、Blog等服務。

‧登入 / 登出

‧	12' E政府專刊no.6(46)
‧	12' 個資法專刊No2(45)
‧	12' iTcloud No.2(44)
‧	12' e政府專刊No.5(43)
‧	12' 個資法專刊(42)
‧	11' CIO專刊(41)
‧	11' e教育專刊No.3 (40)
‧	11' e政府專刊No.4 (39)
‧	11'iTcloud專刊(38)
‧	10' e教育專刊No.2 (37)
‧	10'e政府專刊No.3 (36)
‧	09'e政府專刊No.2 (35)
‧	09'e教育專刊(34)
‧	09'e政府專刊(33)
‧	08'企業資安專刊－端點安全防護(32)
‧	08'企業採購情報誌(31)
‧	07'資訊安全技術應用專刊(30)
‧	07' 新世代資料中心專刊(29)
‧	07'企業資安技術應用專刊(28)
‧	企業採購情報誌'06冬季號(27)
‧	企業軟體技術應用專刊(25)
‧	企業資安技術應用專刊(24)

IT部門只能滿足部分個資法條文的要求

IT部門只能滿足部分個資法條文的要求
不過，企業內擁有的電子資料形式的個資，只是所有個資的部分資料，新版個資法更納入紙本個資作為保護標的。由此看來，IT部門真的適合作為企業因應個資法的單位嗎？

達文西法律事務所主持律師葉奇鑫表示，過去1年多來，他在臺灣各地演講、進行個資法教育訓練和宣導，大約有7成的演講邀約都是由IT部門主導。以他的經驗來看，負責聯繫個資法演講和教育訓練行程的單位，往往都是企業內負責因應個資法的核心部門。

尤其是個人資料已經高度電子化的產業，例如之前受到《電腦處理個人資料保護法》規範的8大行業及指定適用行業，企業非常容易指定IT部門作為因應個資法的部門。

先前有家銀行的資訊部副理表示，該銀行由IT部門負責因應個資法。原先銀行內部考慮由法務和IT部門先凝聚共識後，再選擇一個單位負責因應個資法，但最後，「IT部門猜拳猜輸，」他說，因為IT部門先前有控管《電腦處理個人資料保護法》的電子個資，並且取得ISO 27001資訊安全管理系統認證。所以在新版個資法擴大保護客體後，該銀行便覺得，選擇IT部門作為因應新版個資法的單位，是省事且不需再大費周章的選擇。

個資法對企業而言，是一個很強法規遵循的驅動力，所有企業的因應對策，都必須滿足個資法母法和相關施行細則規範。理律法律事務所合夥律師曾更瑩表示，以新版個資法母法共56條規定來看，IT部門能夠滿足的條文規範有4條，包括第3條「當事人個資相關權利」，第11條「公務機關和非公務機關維護個人資料之正確性」，第21條「非公務機關國際傳輸個資的安全性」和第27條「非公務機關保有個資應採行的適當安全維護措施」。也就是說，在個資的蒐集、處理、利用、國際傳輸到銷毀的過程中，IT部門可以花比較大的心力在個資處理、國際傳輸和銷毀上。

曾更瑩指出，他們的客戶大部分是外商、跨國企業和大型企業等，在有個資法時的疑問時，經常是由法務部門扮演聯繫窗口，彙整各部門在因應個資法時，是否有某個作業流程需要因應個資法進行調整，但她坦言，可能是法務部門被動、守成的特性，加上多數法務部門人少、資源也少於其他部門，所以目前企業內以法務部門作為個資法因應部門的比例很少。她不諱言，人性其實是怕承擔責任的，尤其是要負擔這麼重大的法律責任時，能推給其他更有資源、能承擔的部門更好。

雖然，在個資法母法規範下，IT部門能夠著力的條文不多，但是葉奇鑫認為，根據個資法施行細則草案的規畫，有許多都是IT部門可以執行的工作內容，尤其是施行細則第9條所規定的11項安全維護措施中，除了第1項的「成立管理組織，配置相當資源」應該由組織高層負責，第2項「界定個人資料的範圍」第7項「認知宣導及教育訓練」和第11項「個人資料安全維護之整體持續改善」可以由IT部門和其他包括法務與業務部門一起執行。

至於第3項「個人資料之風險評估及管理機制」、第4項「事故之預防、通報及應變機制」、第5項「個人資料蒐集、處理及利用之內部管理程序」、第6項「資料安全管理及人員管理」、第八項「設備安全管理」、第9項「資料安全稽核機制」和第10項「必要之使用紀錄、軌跡資料及證據之保存」等項目，他說，全部都是IT部門責無旁貸的工作項目。

總經理帶頭推動個資保護效果最好
「上行下效、風行草偃」，雖然IT部門經常是企業指派因個資法的單位，但個資法是一個和全公司部門和流程有關的法案，蒲樹盛認為，成立一個跨部門的「個資保護管理委員會」或者是「個資保護推動小組」等單位，每個部門都指派部門代表加入這樣的組織，在這樣的單位運作下，去解決跨部門所遇到的個資保護難題。

跨組織的個資保護委員會是一個可以凝聚共識和討論事情的地方，不過，由誰擔任這個委員會的發起人，攸關該公司對個資保護的重視程度。萬幼筠指出，有些公司會指派副總層級以上的高階主管擔任發起人，看重的就是具有足夠的授權，可以進行跨部門的溝通協調。臺灣安麗公司就是直接是由總經理陳惠雯擔任發起人的角色，「由總經理出馬擔任個資保護委員會發起人的宣示效果，更清楚彰顯出，公司的確將個資保護列為企業營運的最優先項目之一。」萬幼筠說。

此外，曾更瑩也建議，可以仿效國外制度，增設個資保護的隱私長一職。她認為，隱私長必須具有副總層級以上，才有跨部門組織溝通協調的實權，但隱私長最重要的任務在於，不只要懂得個資法精髓，還要能夠扮演業務流程與系統單位中間的溝通橋樑，讓組織個資保護的這件事情，能夠在潛移默化中，成為公司的企業文化。

理律法律事務所合夥律師曾更瑩：只靠IT不足以全面保護個資

理律法律事務所合夥律師曾更瑩表示，IT部門同仁透過「問對的問題」降低因為協助企業因應個資上帶來的困難。

就企業內針對個資保護的議題而言，IT部門可以做的事情大部分偏重在個資的「處理」上。
理律法律事務所合夥律師曾更瑩表示，個資的蒐集和利用大部分來自業務部門，如果企業指定IT部門為負責個資因應的部門，IT部門可以協助企業做好的部分，頂多就是落實後端的系統面和流程面的控管，但就個資保護的控管上，仍然不夠全面。

IT部門因為不是第一線蒐集個資的單位，IT部門往往只看到系統面的需求，而不理解第一線業務單位面臨的困擾。曾更瑩認為，IT部門和其他單位一定要能找出一個溝通的方式或介面，「真正做到讓彼此能理解彼此的想法和立場，」她說。

IT部門要學會問對問題
若以領域而言，曾更瑩認為，法務同仁要了解個資保護的IT控管流程，困難度遠遠高於IT部門同仁理解個資法的法律規範，以現實面而言，企業內委由IT部門負責因應個資保護議題，是可以理解的。

但是，曾更瑩建議，IT部門同仁應該要學會透過「問對的問題」降低因為協助企業因應個資上帶來的困難。

所謂「問對的問題」就是，當所有的資訊流到IT部門的時候，IT部門要詢問個資蒐集單位，了解包括蒐集個資前是否已經告知當事人、蒐集的個資來源、目的，個資保存期間以及誰有權存取這份個資等種種關鍵資訊。

此外，IT部門對於個資的國際傳輸與委外扮演很重要的角色，她提醒，個資不應該存放在對臺灣有敵意的地方，而個資進行國際傳輸時的安全性與彼此權利義務關係，也應該事先確認並釐清後才進行國際傳輸。「否則，企業很容易因此遭到主管機關的關切。」她說。

達文西法律事務所主持律師葉奇鑫：IT要和法務共同組成個資小組

達文西法律事務所主持律師葉奇鑫指出，IT部門和法務部門合作因應個資法，可達到相輔相成的效果。

達文西法律事務所主持律師葉奇鑫表示，有許多公務與非公務機關指定IT部門作為個資保護的單位，很多是因為有大量的個資都是存放在電腦或資料庫系統中，例如內政部便指定由IT部門負責個資保護的議題，所以，所有內政部所轄的各單位，包括警政署等，都由IT部門負責個資保護相關議題。

「個資保護可以分成管理面和技術面的層次討論，」葉奇鑫說，IT部門可以解決技術面的問題，至少可以解決一半的問題，剩下的管理問題，則可以透過內部溝通協調來解決。

不過，他認為，有許多企業的IT部門並非強勢部門，也往往沒有實權，如果企業指定IT部門控管個資保護的流程，也是一種提升IT部門影響力的作法，加上IT部門往往擅長流程控管，若願意跨領域學習，個資保護的領域會是IT部門可以發揮跨領域學習的地方。

IT要和內部個資專家合作
IT部門在企業內，普遍不擅長和其他部門溝通合作，葉奇鑫認為，一旦IT部門成為個資保護的指定單位，學會和業務單位溝通並具有同理心，是最基本必須要學會克服的功課。而且，IT部門必須和企業內的個資專家合作，也就是法務部門，讓兩者達到相輔相成的效果。

他舉例而言，一般企業會針對個資保護成立跨部門的工作小組，若是IT當主要的負責部門，召集人可能是公司指定的總經理或副總級以上的管理階層擔任，副總召則可能是IT部門的最高主管負責，因此，團隊中一定得納入熟悉個資法的法務成員，讓法務和IT在這樣的個資小組合作，共同解決企業因應個資保護所面臨的法律和技術上的困難點。

1 / 2 / 3 / 4 / 5 / 6

‧	6/20-6/21 Enterprise Cloud EXPO 企業雲資源應用博覽會與企業雲端論壇
‧	2013 BlackBerry Enterprise Experience Forum-無庸置疑的企業行動化使命
‧	2013 BrainShare Technology Forum Asia Pacific Tour
‧	2013 Java Developer Day
	更多研討會

▼ ADVERTISEMENT ▼

▲ ADVERTISEMENT ▲