中小企業的個人資料保護之道

雖說「國法不外乎人情」，但是已三讀通過之「個人資料保護法」顯然尚有不近人情的地方。當法務部和媒體在為「公共利益」及許多「不確定法律概念」舉辦公聽會與討論時，台灣數以百萬計的民間企業有的正憂心忡忡不知如何因應，有的仍在冷眼旁觀，心存觀望，但是更多的企業尚不知發生了何事，甚至覺得真有這麼嚴重嗎？

即使「我們每個人的個資早已在網路流傳，差別只在於有多詳細和正確而已」；雖然「我們無法期待個人資料保護法能夠作為一部保障人民隱私權的法案」，但是因為個人資料保護法涵蓋了全國「自然人、法人或其他團體」的行為，所以政府是否至少應該盡到全面宣導之義務？

台灣以中小企業居多，而中小企業本屬資源較少又難得政府照顧之組織，當個人資料保護變成一定要遵循的法令時，除了「上有政策，下有對策」或是「靜觀其變」外，是否尚有其他可行之路？畢竟此次法令修訂之後的罰則可上看新台幣兩億元及五年以下有期徒刑，而所謂「能證明其無故意或無過失者」又尚無相應的規定或國家標準可以依循，所以近三個月來的個資研討會或說明會幾乎場場爆滿。會中經常被問到的問題不外乎是「這樣算不算個資？」、「主管機關或是警察局跟我要資料，可不可以給？」、「一定要書面同意才能蒐集和利用嗎？」，「我們已經有防火牆和入侵偵測系統，這樣算不算善盡保護責任？」等。

除了法令明文規定之外，有些問題也許並無單一正確的答案，但是只要掌握「己所不欲，勿施於人」的原則，不論是組織或個人應該都不致於有太大的錯誤判斷產生。反而是有關個人資料保護的行為，組織一定要有堅定的主張，否則萬一興訟，在法官面前要負舉證責任時，恐怕難以理直氣壯的面對。對於資源有限的中小企業，如果企業人數在100人以下，下列個人資料保護步驟應可作為參考。

1.將個人資料保護重點納入組織內部管理政策
只要使用資訊設備就有風險，所以資訊安全本應適當管理，將個人資料保護納入組織管理的一環只是「為所當為」而已。

2.指派專人或單位負責個人資料保護事宜
違反法令之風險，嚴重時將危及企業負責人，故非專人專責難以落實管理責任。

3.確認組織可能擁有之個人資料
不只要清查組織現在擁有之個人資料，更要考慮未來可能擁有個人資料之內容、類別與形式，並應明確認知蒐集與使用之目的。

4.建立個人資料保護計畫（從資料蒐集開始到資料銷毀為止）
依照個人資料生命週期（圖一）確保個人資料作業流程均已被妥善管理，行為管理與資訊技術並重，降低人為疏失或外力入侵之風險。

5.辦理組織全員個人資料保護之教育訓練與宣導
管理者應「證明已盡防止義務」（個資法第五十條），對組織全員進行教育訓練不僅有利推動管理制度，亦是提升員工資訊安全認知及保護個人資料之最好方法。

6.定期檢查個人資料管理作業程序是否符合法令要求
管理是否落實應經由內部稽核或檢查之方式來確認，尤其是法令遵循為企業風險管理不可或缺之任務，違反法令輕則罰款，重者尚有牢獄之災。

7.妥善處理來自當事人（個人資料之本人）之客訴及抱怨
個人資料保護法中之罪須告訴乃論（個資法第四十五條），除非意圖營利或對公務機關非法變更資料。所以自企業之角度，即使有無意洩漏個人資料之事，如果能夠妥善處理客訴及抱怨，當事人不提起告訴，則相關訴訟之風險自然降低。

圖一、個人資料生命週期管理

在「APEC隱私保護綱領」中第一個提及的就是「預防損害」 (Preventing Harm)原則，不論在內部控制或資訊安全管理方法中，「預防」永遠都是第一優先考慮的措施，不僅因為「未雨綢繆」符合風險管理的基本法則，同時在許多事實上也證明「預防」的管理成本遠低於「亡羊補牢」。所以與其等到法務部完成施行細則，行政院公告實施，不如及早建立正確的觀念與態度，好好保護自己和別人的「個人資料」。

作者簡介
NII產業發展協進會協理魯君禮
擁有ISO 27001主導稽核員證照、ÍSO 20000主導稽核員證照、BS 7799主導稽核員證照、CGEIT國際資訊治理師。曾任資誠企管顧問經理，擔任過多所大專院校、政府機構資安計畫主持人。