個資法施行細則第12條明定了11項安全維護措施,其中第2項為「界定個人資料之範圍」,所代表的意思就是常聽見的個資盤點。個資盤點是非常重要的,而且必須仔細執行。若沒有徹底盤點清楚,那些沒有發現來納入管控的個資,很容易發生外洩,甚至企業還不知情。根據個資法的規範,企業主就有可能面臨5年刑事責任並且可能面臨最多2億元的罰款。所以,企業必須找出內部所有個資儲存的位置和儲存的形式,才能實施該有的防護措施。

個資盤點最重要的是必須找出所有企業內部的個人資料,根據個資法的定義,個人資料包含指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。也就是說,任何記錄上述資料的紙本文件或是電子檔案都是要盤點出來,不能遺漏。

不過,根據「iThome 2012年CIO大調查」,臺灣多數企業都認為,因應個資法所面臨最大的困難與挑戰的第一名是「個資分散在各部門」(39.8%),這代表著個資盤點是讓企業最為頭痛的一項作業。

因為個資通常分散於各個部門,員工們很可能不清楚自己手頭上的資料到底是不是個人資料,這往往導致個資盤點過程缺乏效率,甚至遺漏許多個資,問題重重。所以,企業必須先擬定一套個資盤點計畫,並且在個資盤點之前,要先對員工進行完整的教育訓練,讓員工明白有什麼是個資,以及個資盤點的意義和目的,後續作業才會順利。

盤點前要先了解個資生命周期

個資盤點時,不是只有清查資料庫或是存放文件的地方就好,而是必須要清查所有的業務流程,盤點者要從個資生命周期的角度來思考,從個資的產生開始,這些個資是以什麼樣的形式存在著,這些檔案包含了哪些個資,文件流程是由誰負責,最後文件歸檔方式和保存位置等。並依據個資生命周期找出存放載體,例如可能儲存個資的文件、手冊或系統功能等,才能讓盤點工作更有效率。

盤點出來的個資,再依照風險等級分類,因為不同程度的風險所需對應的保護策略也會有所不同,而且,這樣做也方便識別出哪些是關鍵資料或是較為敏感的個人資訊。

可藉助個資盤點工具,但必須再次確認盤點結果的正確性

企業進行個資盤點時,可藉助個資盤點表、自動化個資盤點工具或是聘請顧問公司協助,來節省進行個資盤點時所需要的時間。例如中華民國資料保護協會有提供免費版個資盤點工具,也有廠商推出個資盤點工具。

雖然有自動化個資盤點的工具可以使用,但若企業個資的利用與處理流程過於複雜,也可能導致盤點結果有誤或是不夠完整,企業必須交叉確認過。況且,若是以紙本文件形式存放的個資,個資盤點工具就毫無用武之處,企業得改用人工盤點。

不過,個資盤點卻不是僅執行一次就大功告成了,企業可能會遇到營運項目有新的增減、內部組織的異動、業務流程的改變、…等等因素。遇到了這些因素企業就必須再重新盤點一次,才能更完整的掌握內部個資更動的情況。

個資盤點是一項非常耗費時間與人力的作業,但卻又不可不執行,在英國個資保護標準BS 10012中的條款4.2.1以及4.2.2,有針對個資盤點提供詳細的說明,企業可借鏡參考。企業透過個資盤點了解企業內部個資分布後,有助於往後個資保護措施的規畫,最重要的是,完善的個資盤點作業可降低個資遺漏的機率,減少資料外洩的可能性。

 個資法安全維護措施2:界定個人資料之範圍 

1. 用個資盤點找出企業內部所有個人資料

2. 要從個資生命周期來盤點個資

3. 找出任何存放個資的載具,包括紙本或電子形式的個資

4. 可藉助盤點工具加快清查速度,但須了解盤點工具的侷限

5. 可參考BS 10012英國個資保護標準4.2.1、4.2.2條款

資料來源:iThome整理,2012年10月

相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」


熱門新聞

Advertisement