新版個資法將在10月1日上路,為了協助臺灣服務業者因應新版個資法帶來的衝擊,服務業主管機關經濟部商業司也打算從2013年開始,將原本只提供電子商務業者申請的TPIPAS(臺灣個人資料保護與管理制度規範,Taiwan Personal Information Protection and Administration System)驗證制度,進一步推廣到所有經濟部商業司主管的產業都可以申請,企業通過TPIPAS驗證後,則可以取得DP Mark(資料隱私保護標章)。

通過TPIPAS認證企業可取得DP Mark標章

TPIPAS總共有10章,第0章是前言,除了概述外,也包含訂定的目的、用途和方法論;第1章主要講適用範圍,第2章是版本標示,第3章是解釋相關的用語和定義,例如定義何謂個人資料、當事人或者是個人資料管理代表;第4章則定義相關的要求事項,包括定義什麼是個人資料保護管理手冊、識別法令及其他相關規範、當事人之相關權利以及管理監督的詳細作為及教育訓練等。

第5章則明訂管理階層的管理責任,包括最高管理階層、管理代表、個資管理人員所應負擔的責任。第6章說明如何進行有效性量測,建立量測機制,供管理代表判定量測的效果。第7章控管相關的文件及紀錄,包括記錄、文件管理和記錄管理等。

第8章是內部評量,依照法規和資安政策進行控管,便規範了內部評量的作為,包括符合法規及本制度之要求。而實現內部管理的制度,第一步就是了解規畫執行內容,確認是否合乎個資法法令規範,並滿足管理政策、手冊及相關具體規則。至於最後一章第9章,屬於「改善」章節,要求每年應該定期召開檢視會議,召集相關權責人員,檢視個人資料保護管理制度,並且要做到以書面紀錄檢視結果,同時報告最高管理階層;也必須事先規範矯正及預防措施。

經濟部商業司第七科科長陳威達表示,通過TPIPAS驗證並且取得DP Mark認證的企業,一旦取得標章後,假若發生企業個資外洩的事宜,商業司將出面協助取得認證標章的企業,進行個資外洩原因調查。

他說,商業司查明原委後,只要能確認企業不是因為人為故意或過失發生的個資外洩事件,而是遭到超過現有IT科技保護水準之上的攻擊事件,將會秉公處理,不會貿然將企業的DP Mark收回。

TPIPAS參考日本經驗,打造臺版DP Mark

日本自從2005年通過個人情報保護法(類似臺灣新版個資法)後,由財團法人日本情報經濟社會推進協會(JIPDEC)結合標準與管理制度,制定了JIS Q 15001:2006個資驗證標準,也是一套日本版的個人資料管理系統(PIMS)。通過該管理制度的企業,則可以取得JIPDEC協會頒發的隱私權標章P-Mark,一般企業員工也可取得類似主導稽核員和內評稽核人員的個人認證。

他山之石可以攻錯,以日本為例,他們在推動這樣的個資保護認證制度相較於ISO 27001資安驗證,獲得更多企業的認同。根據統計,截至2010年7月底為止,取得P-Mark認證的日本企業總計超過1萬1千家(11,562),比取得ISO 27001的企業家數(3,572家)還多。

為了輔導臺灣服務業落實因應個資法的規範,先前經濟部商業司參考日本的P-Mark隱私權標章,並委由資策會科技應用法制中心規畫TPIPAS的制度與推廣方針,成為一套適合臺灣服務業的個資保護管理制度,更有機會成為服務業的產業自律標準。陳威達認為,透過導入臺灣的個資驗證制度TPIPAS,不僅可擴大到適用整個服務業,也可以降低服務業者取得其他國際驗證所必須支付的高額費用,同時符合臺灣個資法的規範。

不過,陳威達指出,TPIPAS原本是針對先前個資外洩嚴重且擁有大量個資的電子商務業者設計的,從2010年10月開始推動,歷經2年的試驗和檢討,2012年初決定放寬TPIPAS申請限制,今年10月完成第一波電子商務業者TPIPAS的驗證與檢討後,他說:「預計在2013年一月,將開放TPIPAS驗證給所有經濟部商業司所管轄的服務業者都可以自由申請。」

TPIPAS是服務業的共通個資保護規範

TPIPAS雖然是經濟部商業司推動的個資驗證制度,但在臺灣,針對個資法同時有許多個資保護框架存在,甚至廣為某些產業認同的同時,對於通過TPIPAS驗證制度,並取得DP Mark標章的企業而言,可以為企業帶來哪些正面的效益或好處呢?

因為新版個資法對於非公務機關外洩個資有多種懲處,包含民事責任、刑事責任和行政處罰等。陳威達認為,TPIPAS個資管理驗證制度和DP Mark隱私權標章雖然是由政府主導推動的,目前只能將這套制度規範和標章視為產業自律的象徵。

如果發生通過TPIPAS認證標準並取得DP Mark標章的企業,發生個資外洩時,陳威達表示,身為服務業的中央目的事業主管機關,商業司將以輔導者角色,協助發生個資外洩的企業,釐清個資外洩原因,落實中央目的事業主管機關的督導之責,也確認取得DP Mark標章企業發生個資外洩時,是否是因人為故意或過失造成的,或者是遭到非現行IT技術可以防禦的網路攻擊,例如零時差攻擊等,確認是否要暫停或收回DP Mark標章。

也就是說,商業司對於已經通過驗證並取得標章的服務業者,將負起持續督導非公務機關落實個資保護之責,但取得標章的企業若沒有持續從P、D、C、A流程中落實個資保護,即便已取得相關標章,一旦發生個資外洩事件,商業司會依照規定收回TPIPAS相關認證。

此外,陳威達認為,企業若是通過TPIPAS的個資驗證並取得DP Mark標章,有助於臺灣服務業者和重視個資保護的外商公司往來。這也意味著臺灣的服務業者,有能力提供足夠的個資保護水準,並和外商企業在確保個資安全的環境下,進行更密切的商務交流。

TPIPAS針對個資法制定詳細作法規範

陳威達表示,推動TPIPAS的過程中,企業面臨的問題在於各種「不確定風險」,包括IT技術上的駭客入侵以及員工管控不當等,都是主要造成個資外洩的重要風險之一,而透過TPIPAS規範的個資保護作為,有助於服務業更清楚從何著手因應個資法。

TPIPAS首度對外公布是2010年10月,資策會科技應用法制中心組長郭戎晉表示,TPIPAS精髓在於,所有的條文設計都以臺灣新版個資法為基準,相關內容也會隨著法令變革進行修正。

目前TPIPAS已經有2011年版,這也是目前10家電子商務業者TPIPAS進行驗證的版本。隨著新版個資法的正式施行,未來也會有更新的版本。

郭戎晉認為,法條都是硬梆梆的文字,TPIPAS的優點就是將生硬的個資法條文,用具體、實做的步驟措施,對應個資法條文,轉化成可以按部就班的標準作業程序,讓服務業者只要照著TPIPAS條文做就好了。

舉例而言,新版個資法施行細則第12條第2款規定的11項安全維護措施,「配置管理之人員及相當資源」、「界定個人資料之範圍」、「個人資料之風險評估及管理機制」、「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」、「認知宣導及教育訓練」、「設備安全管理」、「資料安全稽核機制」、「使用記錄、軌跡資料及證據保存」和「個人資料安全維護之整體持續改善」。上述11項安全維護措施也是一般個資顧問,建議企業如何因應個資法時,列為優先施行的11項作為。

郭戎晉說,「企業若參考TPIPAS的條文規範,就可以知道拆解後的執行步驟,到底可以怎麼做。」

服務業者可照著TPIPAS規範做,視為產業自律標準

若以最後第11項「個人資料安全維護之整體持續改善」為例,郭戎晉認為,此時可以參考TPIPAS第九章「改善」的章節。其中,9.1條便定義「定期檢視」,要求個資管理代表應該每年定期開會,並落實相關的管理制度的檢視,也必須提出書面的檢視記錄,並報告給最高管理階層。

在這場定期召開的檢視會議中,第9.1.1條第1款詳細規定4個檢視報告內容,包括:「個人資料管理制度執行狀況及其分析」、「矯正及預防措施之成效」、「有效性量測之結果」及「個人資料處理之相關法令以及其他相關規範之修改狀況」。

第9.1.1條第2款也針對最高管理階層提出建議,在調整相關個資保護管理制度時,包括:「內評報告」、「社會整體情勢變化」、「企業業務領域變化」、「事業內外部改善建議」,以及「其他可能影響個資管理制度的任何變更」都可列為重要參考。

矯正措施也必須要有特定產出,在第9.1.2條中,也針對最高管理階層決策調整個資管理制度時,應該執行「個人資料管理制度的調整與修正」、「資源提供之規畫」以及「改進有效性量測之規畫」等項目。

郭戎晉指出,從上述的對照可以發現,相較於新版個資法及個資法施行細則,TPIPAS提供的條文對於不了解應該從何著手因應個資法的企業,內容更具有參考和可執行的方針。

一般對於各種標準有三種認定方式,包括產業標準、國家標準和國際標準,他認為,目前臺灣個資法條文中,並沒有任何強制公務或非公務機關遵守任何標準或規範,TPIPAS是由商業司針對電子商務業者,進一步擴大到其他服務業者所提供的產業自律規範。

郭戎晉說:「如果企業不知道因應個資法的第一步怎麼做,除了參考個資法施行細則的安全維護事項外,TPIPAS規定的各種作法、文件和規範,都是臺灣服務業可以做為參考的指標。」

企業若通過經濟部商業司TPIPAS的個資保護管理制度規範,就可以取得DP Mark(資料隱私保護標章)。

企業若想要導入TPIPAS認證,必須指派專人受訓,受訓証照包括個人資料管理師以及個人資料內評師兩種角色。其中,個人資料管理師是協助企業導入TPIPAS及協助維運該制度的專業人員。

資策會科技應用法制中心組長郭戎晉表示,由商業司推動的TPIPAS將作為商業司管理各種服務業的個資保護規範。


快速認識TPIPAS

● 全名:TPIPAS(Taiwan Personal Information Protection and Administration System)臺灣個人資料保護與管理制度規範

● 由來:由經濟部商業司參考日本JIS Q 15001:2006個資驗證標準,委由資策會科技應用法制中心規畫的PIMS(個人資料管理系統)

● 針對對象:原本是以臺灣電子商務業者為主,預計2013年將拓展到所有經濟部商業司主管的服務業者

● 內容:根據個資法和個資法施行細則,所制定的因應個資作為。總計有十章,包含第0章的前言,和其他根據P(規畫)D(執行)C(稽核)A(矯正)所規範的9章內容

● 受訓證照:

    1.個人資料管理師:協助事業導入臺灣個人資料保護與管理制度及持續協助事業維運制度能力之專業人員。

    2.個人資料內評師:具備內部控管事業導入臺灣個人資料保護與管理制度成效能力之專業人員。

● 效益:政府將TPIPAS個資管理驗證制度和DP Mark隱私權標章視為服務業的產業自律標準

資料來源:iThome整理,2012年10月


簡述TPIPAS章節架構

0. 前言:概述TPIPAS,包含訂定的目的、用途和方法論。

1.適用範圍:針對個資蒐集、處理、利用及國際傳輸個資行為訂定規範。

2.版本標示:企業引用TPIPAS制度,應註明引用版本,否則視為最新版。

3.用語定義:定義何謂個人資料、當事人或者是個人資料管理代表等。

4.要求事項:定義個人資料保護管理手冊、識別法令及其他相關規範、當事人之相關權利以及管理監督的詳細作為及教育訓練等。

5.管理責任:明訂管理階層的管理責任,包括最高管理階層、管理代表、個資管理人員的責任。

6.有效性量測:建立分析量測機制,讓管理代表判定相關程序或機制是否有效。

7.文件及記錄之範圍:控管相關的文件及紀錄,包括記錄、文件管理和記錄管理等。

8.內部評審:了解規畫內容是否合乎個資法法令規範,並滿足管理政策、手冊及相關具體規則。

9.改善:每年定期召開檢視會議,召集相關權責人員檢視個資保護制度,落實書面紀錄及報告最高管理階層。

資料來源:iThome整理,2012年10月


通過TPIPAS企業將獲得一張政府核發證書

按照經濟部商業司原先的規範,未來通過TPIPAS驗證、並取得DP Mark標章的企業,會收到一張由經濟部發文的證書。不過,這張證書的發證者的署名是掛資策會執行長的名字,而非是經濟部部長或者是經濟部商業司司長的名字。

經濟部商業司第七科科長陳威達表示,資資策會科技應用法制中心是商業司TPIPAS專案的委外單位,未來專案也可能再委外給其他單位,發證者掛資策會執行長是相當合理的。

許多國際級的標準驗證公司,例如BSI或SGS等,企業接受這些驗證公司的稽核,通過稽核後,便由這些驗證公司發證。商業司委由資策會科法中心執行TPIPAS專案,負責驗證的工作,核發的證書掛上資策會執行長的名字是正常的;但他說,因為TPIPAS還是隸屬商業司的專案,因此,核發給企業的證書,都會有經濟部的發文文號,企業都可以從這文號驗證真假,將屬於經濟部的官文書之一。


相關報導請參考「因應個資法第一步:11項企業該做好的安全維護措施」


熱門新聞

Advertisement