個資法施行細則放寬安全維護要求，不用11 項全做

個資法從今年10 月1 日正式施行後，個資法施行細則也同步適用。不過，原本在施行細則草案中列為企業必做的11 項安全維護措施，到了正式版的條文放寬了這項要求，修改為企業可視情況選擇性地執行需要的安全維護措施，而不用11 項都做。

新版施行細則第12 條第2 項規定：「前項措施，『得』包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則」，其中，法務部常務次長陳明堂說，草案版原是「應包括」，正式條文則修改為「得包括」，「得」包括意味著公務或非公務機關可以就下列11 項安全維護措施，選擇適合該單位的作為，不強制全數11 項安全維護措施都必須要執行。

陳明堂進一步解釋，草案預告時匯集各界意見後，發現對規模較小的企業而言，若要完整執行上述11 項安全維護措施，的確力有未逮。因此，在正式細則中，法務部決定放寬限制，讓企業在因應的作法上，可以更有彈性。「這是為了讓公務與非公務機關在因應個資法時可以更有彈性來選擇適合的做法。小公司可能只需選擇其中幾項來做，但大公司則可以做得比這11 項安全維護措施還多。」他說。

達文西個資暨高科技法律事務所主持律師葉奇鑫表示，法務部放寬企業應該落實的11 項安全維護措施，目的在於符合比例原則，畢竟，小公司資源不足，因應個資法能做的內容有限；但若是大公司應該要執行的安全維護措施，則不限於上述11 項規定。

理律法律事務所合夥律師曾更瑩指出，個資法施行細則規定的11 項安全維護措施，已經像是企業因應個資法的「檢核表」，放寬成「得包括」後，其實就是讓企業因應時，可以更有彈性。

法務部也於10 月1 日正式對外公告了個資法的特定目的及個人資料類別，陳明堂表示，特定目的有182 項，而個資類別有10 大類共134 項，這些是為了提供公務和非公務機關在個資蒐集、處理和利用時，衡量「符合特定目的內的利用」時的重要參考依據。他強調，這些特定目的和資料類別未來都是可以檢討修訂的，他也建議公務或非公務機關在個資清冊上，可以羅列符合的特定目的和資料類別，確保
個資蒐集、處理和利用的合法性。

此外，陳明堂說，個資法正式施行後，法務部也簽准成立一個「個資法研究諮詢小組」的任務編組，匯集學界和業界的專家，針對個資法適用時的法規疑慮進行研究和說明。至於眾所關心的中央目的事
業主管機關，他表示，行政院正在核定中，預期近日將會對外公布。

　個資法施行細則11項安全維護措施　

1. 配置管理之人員及相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 使用紀錄、軌跡資料及證據保存。
11. 個人資料安全維護之整體持續改善。
資料來源：iThome整理，2012年10月