個資法施行細則明訂安全維護事項

法務部法律事務司科長黃荷婷表示，根據新版個資法第27條規定，施行細則中將針對非公務機關制定「適當安全維護措施」，包括善良管理人的注意義務，以及12項明訂安全維護事項，藉此防止個人資料被竊取、竄改、毀損、滅失或洩漏。

日前召開的「新版個資法施行細則」草案研商會議中，目前已經完成50多條施行細則的討論，黃荷婷指出，預計將再開一次會議，重新審視草案內容有無扞格之處並整理法條後，將進行草案預告，之後才會送交行政院進行「新版個資法施行細則」的審查。

在此次「新版個資法施行細則」的修正重點中，對於各個非公務機關影響最大的，當屬規範的12項安全維護事項。黃荷婷表示，這是法律中規定非公務機關必須落實的項目，施行細則只是說明其大意，細節還是交由非公務機關自行決定。但差別在於，「企業落實程度深淺好壞，將涉及未來一旦爆發個資外洩事宜，企業是否可以證明做到善良管理人的注意義務。」她說道。

規定的12個安全維護事項中，第一項是明訂「必要之組織」。黃荷婷指出，因應新版個資法，包括公務與非公務機關都必須要有專人、專責機關負責個資保護相關事宜，通常是由各相關部門同仁組成的個資保護組織。
其次為「界定個人資料之範圍」。黃荷婷說，這其實是提醒非公務機關應該先進行個資盤點，必須要知道誰用了哪些資料並且存放在什麼地方，這包括紙本和電子個資。第三項「個人資料蒐集、處理或利用之程序」則是規範非公務機關需制定出個人資料保護相關的執行程序與標準作業流程。
第四項「當事人行使權利之處理程序」是針對個人對於個資都有閱覽查詢權力，非公務機關回應程序都應該明訂。針對第五項「資料安全」和第六項「資料稽核」的安全維護事項，黃荷婷表示，主要是要求非公務機關對於個人資料應該採取何種IT科技與系統作保護，事後也應該對於這些存放個資的IT系統定期做資料稽核。

企業應留存進行個資保護的各種記錄
第七、第八項「人員管理及教育訓練」和「記錄與證據之保存」是黃荷婷認為企業應該看重的安全維護事項，因為不管企業做了什麼人員管理或教育訓練， IT設備或者紙本資料個資存取控制的記錄、日誌檔（Log）等，都必須完整保留，因為這些都是企業舉證的證據力。

第九項「設備管理」主要是針對各種保存個資的載具或系統，應該要做定期的維護與更新。第十項「改善建議措施」則是要求企業必須針對個資保護不足之處持續更新，規模與強度仍交由非公務機關自行決定。

第十一項「緊急應變措施及通報」主要是規範資安事件發生後的通報應變流程。黃荷婷指出，由於新版個資法第12條規定，「公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。」企業從個資外洩事件發生後的應變到最後通報當事人的流程，都必須清楚規定。

不過，黃荷婷說，包括NCC和交通部等目的事業主管機關，也將針對電子商務業者和電信業者等制定相關法規命令，其中，將規定受管轄的相關企業一旦發生個資外洩事宜，除了通報當事人外，也必須通報目的事業主管機關。第十二項「其他安全維護事項」則是一個概括條款，補整體草案規畫上有其他不足之處的補充法源依據。文⊙黃彥棻