企業因應個資法該做的維護措施5：個人資料蒐集、處理及利用之內部管理程序

在個資法施行細則第12條明定了11項企業得實施的安全維護措施，其中第5項為「個人資料蒐集、處理及利用之內部管理程序」。也就是說，企業應了解蒐集、處理及利用這三項作業在法律上的定義，來制定符合法律的內部業務流程。

在個資法第2條中有清楚的名詞定義，蒐集是指以任何方式取得個人資料；處理則是指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送；而利用則是指將蒐集之個人資料為處理以外之使用。

企業在處理及利用個人資料時必須符合法定的特定目的，而在蒐集資料時，必須告知當事人企業是依此特定目的清單和資料類別來說明個資的使用目的。所以，法務部也在10月1日正式公布了新版個人資料保護法的「特定目的及個人資料之類別」，新版本共有181項特定目的，以及134種資料類別，可作為企業參考。

管理高層、個資專員、個資因應小組應制定出蒐集、處理及利用這三項作業的程序書，並透過教育訓練讓員工們了解法律規範以及宣導這些程序書可於何處查閱。

間接蒐集的資料於使用前告知即可

企業在進行蒐集程序時，應注意蒐集前有沒有將法規上規定必須明確告知的事項，讓對方清楚的知道。個資法第8條明定公務機關與非公務機關蒐集他人個資時，應告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

然而，企業得到的個資若是非當事人所提供的，即所謂的間接蒐集的個資，企業應依據個資法第9條的規範，於處理或利用該個資前，向當事人告知其個資的來源以及個資法第8條明定應告知事項中的1至5項。此外，企業進行蒐集時，應該確保蒐集的資料是適當的，並遵循最小化的原則，僅蒐集處理和利用時所需要的資料。

告知事項的內容要讓對方容易了解，並妥善留存相關的記錄

上述應告知的事項應以淺顯易懂的文字或其他方式表達，確保當事人能輕易瞭解內容並且能輕易的取得。而告知的記錄，不論是紙本文件的複印、網站上的隱私權公告、電話錄音檔等都須妥善保存，這些記錄保存的時限必須和個資所保留的時間相同，以因應日後的行政檢查或是訴訟舉證所需。

而目前法律雖未明定告知必須取得當事人回覆，但企業若能得到當事人的書面同意，對於日後訴訟時的資料舉證會是一大幫助。

處理利用要符合特定目的，目的變更需重新告知

企業在蒐集資料時就要讓當事人知道，企業如何使用這些個資，而這些處理及利用的目的皆須符合法定的特定目的。若是企業改變用途，對這些個資的用途和原本告知的目的不同，企業必須重新通知當事人，並取得同意後才能處理及利用。蒐集到的資料，企業也應持續維護保持更新，盡可能避免留存了過時及錯誤的資料。

在英國個資保護標準BS 10012條款4.7至4.11中，對個資的蒐集、處理及利用有詳盡的說明，企業可借鏡參考。這三項作業涵蓋了整個個人資料的生命周期，企業應遵循法規，在合理合法的前提下找出最適合的作業流程。

　個資法安全維護措施5：個人資料蒐集、處理及利用之內部管理程序　

1. 依蒐集、處理及利用的法令規範來訂定作業流程

2. 蒐集個資時要告知使用目的

3. 間接蒐集的個資則於使用前補行告知

4. 個資處理及利用要符合目的

5. 增加新的用途時要重新告知當事人

6. 可參考BS 10012英國個資保護標準4.7、4.8、4.9和4.10條款

資料來源：iThome整理，2012年10月

相關報導請參考「因應個資法第一步：11項企業該做好的安全維護措施」