成立個資因應小組要有方法

個人資料保護法規定必須採取適當的安全維護措施，而個資法施行細則草案更進一步規定安全維護措施必須涵蓋的11個要項，其中第一項就是「成立管理組織，配置相當資源」，所以企業因應個資法的第一步，應該就從成立「個資因應小組」做起。

不過，近日法務部送交行政院審查的施行細則版本，卻傳出已將「成立管理組織」修改為只須「設立個資管理專責人員」，這是不是代表企業不需要再成立個資因應小組了呢？

多位個資法專家都認為，企業若要確實遵循個資法，仍有必要成立個資因應小組，因為有專責單位在推動、稽核，才能持續改善個資保護作法，徹底落實個資法的規定。

臺灣BSI總經理蒲樹盛指出，從法律、制度與標準三大構面來看，成立個資因應小組皆有其必要性。從法律面來看，即使法規沒有強制要求，但企業唯有成立組織，才能投入資源，並且透過專責組織達到指揮、推動和監督的功用，持續落實個資保護的安全維護措施，才能確保企業一直遵循法規。

從制度面來看，企業若要透過PDCA循環機制，來持續改善個資保護做法，那麼只由專人來負責是不夠的，唯有透過專責組織，才能確保PDCA流程能不斷循環。而從標準面來看，包括BS 10012等國際個資保護標準，都規定企業必須成立推動小組，以將個資保護作法落實在日常的作業流程。

個資因應小組要涵蓋跨部門
個資因應小組該包含哪些成員呢？臺灣勤業眾信執行副總經理萬幼筠認為，任何部門只要其作業與個資法所規定的個資蒐集、處理、利用和國際傳輸有關，就必須在個資因應小組有代表人。

企業許多部門的作業都與個人資料有關，例如，人資部門擁有員工個資與薪資資料；總務部門擁有不少約聘僱人員或派遣人員的個資，有些公司的股務部門設在總務部，因此也擁有許多股東的個資。財務部門，因為要負責許多應收、應付和催收帳款，擁有許多個人財務資料；而產品服務、售後服務或客戶服務等部門，則會擁有許多客戶的個人資料。

IT部門經常實際負責許多個資流程的處理，而法務部門除了要落實法規遵循的要求外，也必須協助公司盤點和審視各種合約，或者負責打官司，也會經手許多相關人士的個人資料。這些與個資有關的部門，都必須派員加入個資因應小組。

此外，萬幼筠認為，為了落實公司治理，必須檢查各個部門的營運是否有切實落實相關的個資保護措施，稽核部門的參與和監督就顯得格外重要。

個資因應小組的任務，是在公司營運決策之下，釐清個資保護的範圍和深度，制定相關的個資保護制度。由於個資法對於許多作業流程會造成很大的影響，有些流程甚至涉及多個部門，因此來自不同部門的成員，就能共同討論出大家都能接受的作法，同時再負責各自部門的個資推動事務。

誰當召集人，決定個資推動成敗
至於個資因應小組最重要的召集人，該由誰來擔任呢？個資法專家一致認為，企業因應個資法的成敗關鍵，在於老闆帶頭推動個資法。

有些公司像是臺灣安麗、PayEasy，這些意識到自身業務與個資法息息相關的公司，是由總經理親自跳下來擔任個資因應小組的召集人。這麼做有許多好處，因應個資法勢必會改變許多工作流程，甚至是不同部門因此而有所折衝，而總經理就能第一時間解決人員與組織的衝突問題；再者，推動個資法必須投入相當的資源，而總經理擁有預算、人力的支配權，能給予充分的支援。

不過，也不是所有公司都適合由總經理帶頭推動個資法，達文西個資暨高科技律師事務所主持律師葉奇鑫表示，只要依照三個原則：有權、有錢、有人，來挑選個資因應小組召集人，就可以做出一番成果。

召集人要有實質的權力，才能叫得動各個單位；也要有預算，才有足夠的資源落實管理制度與保護措施；更要有人力，才能夠透過分工和各司其職的方式，逐步推動並落實相關的制度。

葉奇鑫指出，個資小組在企業裏有多大的號召力，取決於召集人在企業組織的層級，例如由總經理擔任召集人，那麼個資小組如同總經理辦公室，計畫推動起來自是風行草偃。如果不是由總經理擔任，那麼個資小組召集人最起碼也要是高階主管。若是政府部門，召集人最好是副首長以上的位階，也可以是主秘或副主秘的角色；若是企業，個資小組召集人應是企業裏的第二大或第三大主管，通常也就是副首長以上的職位。

各部門成立部門監督管理小組
蒲樹盛表示，各個部門也應該成立部門監督管理小組，指派具有適當資格或經驗的人員擔任監管個資進度的承辦人，負責每日監督組織遵循並落實個資法的狀況，以確保所有員工都能夠遵守相關的個資保護規範。

部門監督管理小組擔任的是一個「承上啟下、折衝妥協」的關鍵角色，除了協助高層落實法規與政策要求外，也必須肩負協助組織成員落實個資保護的各種規定。

個資因應小組需與績效制度連結
個資因應小組要能夠動起來，公司經營階層的態度非常重要。蒲樹盛便建議，公司高階主管，例如董事長或總經理等，可以具名寫信給每一位員工，告知成立個資因應小組，並公布小組成員名單以及小組任務及里程碑。他認為，這是一種凝聚公司對個資因應小組共識的好方法。

除了寫信，葉奇鑫認為，個資因應小組發起人帶領相關成員以及重要的一級主管，共同宣布保護個資的承諾，也是一種展現單位組織研發的作法。就像是電子商務業者PayEasy總經理林坤正，在成立個資因應小組後，便帶領個資小組成員和全公司一級主管，共同宣誓落實個資保護的企圖心。

葉奇鑫說，個資因應小組從一開始的籌備、定案到後續的開會檢討、進度追蹤等，專案初期適合每周至少召開一次定期會議，等到制度逐步落實後，則可以每兩個月或每季召開定期會議。萬幼筠指出，有許多個資因應小組已經上軌道的企業，在每個月的經營管理會議上，都會定期檢討並報告個資小組的執行進度與運作狀況。

在推動各種專案任務編組時，難免會遇到專案同仁不配合的情況。萬幼筠表示，就組織變革的層次而言，員工或小組成員不配合可以分成「不知」、「不能」和「不願」等三個層次。

他指出，員工若不知該怎麼做，企業要提供適當的教育訓練，培養員工相關的能力；若是不能做，可能是涉及到沒人、沒錢或沒時間，可以透過工作設計、提供資源和團隊合作的方式來改善；但員工不願意做，找出對員工有影響力的關鍵風險指標（KRI），並與員工績效系統和獎懲制度作連結，就可以強化員工的自發性和自主性。

時間來不及怎麼辦？
許多企業打算等到新版個資法施行細則公布後，才決定後續的因應措施，一旦新版個資法如期在今年10月1日施行，在剩下不到2個月的時間，要作完別人在過去2年逐步打底的事，根本是不可能的任務。

因此，葉奇鑫建議，如果來不及從頭做起，可以先做到形式上的合法，然後再來落實實質上的合法。形式上合法的第一步，就是先成立個資因應小組，每一個成員的角色和執掌都定義清楚，對全體員工公告外，也必須留下相關的記錄跡證。

另外，形式合法的第二步就是，企業對於個資的蒐集、處理、利用等過程，也都必須符合個資法的定義，例如，蒐集個資前要告知當事人使用的特定目的；提供個資當事人行使個資查詢、閱覽、補充、更正、請求複製本、刪除或停止處理或利用個資等個資權利等。

葉奇鑫認為，一般企業若可以讓個資的蒐集、處理、利用和國際傳輸都符合法律的規範，就可以達到形式上的合法。「只剩下不到2個月的時間，非公務機關還來得及完成這件任務。」他說，當企業經歷第一階段形式合法的過程後，全體員工對於個資保護也會更有意識，接著針對每一個實際流程面進行實質合法的隱私權衝擊分析、個資盤點、風險評鑑等，整體因應實質合法的因應措施，執行效果會更好。

萬幼筠則建議，第一步要成立個資因應小組，接下來先求符合施行細則其餘規定的10項安全維護措施，並接著從組織單位中，個資成分最重的流程開始著手進行相關的個資盤點、風險評鑑等因應措施。

相關報導請參考「戰勝個資法第一步：成立個資因應小組」