3 分鐘 Keyword─BS 10012

英國驗證公司BSI於2009年6月公告了一個新標準BS 10012：2009，主要是針對個人資料保護所提出的「個人資料保護標準」，其中也參考OECD（經濟開發合作組織）對於個人隱私權保護的八大原則在內。

臺灣BSI副總經理蒲樹盛表示，BS 10012雖然是英國BSI針對個人資料保護推出的一個新標準，讓更多重視個人隱私的國家，有個資保護的框架和更多實務管理上PDCA的作法可供參考。

影響 日韓重視BS 10012
BS 10012：2009甫推出時，也會針對各國適用與否做調適。目前，韓國將BS 10012列為今年度重要資訊相關的服務與需求，日本則因為隱私權標章和PMIS（個人資料保護）規範，對於BS 10012的內容與作法，也有深入的探討。

根據BS 10012的規範，不論是國家或企業組織，都應該有一個專責的個資管理單位，稱之為「Data Controller」，負責個資的收集、使用、傳遞、銷毀和保存。蒲樹盛表示，個資發給誰、又被轉給誰，中間的軌跡流程都應該有專責的人或單位負責。

而且，不論是國家或組織，都應該要事先定義出一份「個資類別清單」，清楚定義哪些是單位內所收集的個資範圍，例如個人的人事異動、婚姻狀況、健檢資料庫等，都應該清楚界定哪些資料該被保護，以及各種個資被保護的層級為何。例如，誰存取、讀取、複製、傳遞了戶役政系統中的個人資料，單位對於資訊流必須清楚掌握，管控個資出入口，並設置各個控管機制。

個資保護最重要的目的在於確保「非原目的的使用」，透過組織、權責、政策、目標的各種PDCA流程，落實個資保護。蒲樹盛表示，BS 10012標準的內容分成第0章到第6章，主要內容按照P、D、C、A的順序，內容分別列在第3章到第6章。其中，OECD的八大原則，則化身為控制措施，散落在第4章的內容中。「個資法通過對於BS 10012的適用有幫助，主要是可符合當地法令規範。」他說。

進行個資保護時，相關的隱私權公告記錄與內容範圍，都必須讓個資當事人容易取得，另外，個資保護的作法是否有考量到弱勢族群的需求，讓這些人也容易取得相關資訊，也是重要的環節之一。

衝擊 臺灣可參考個資保護作法
雖然臺灣並未通過新版個人資料保護法，但蒲樹盛認為，BS 10012對於個資保護的作法，仍具參考價值。例如，電信業、銀行業分公司用戶資料收集後，是否可以交由金控或總公司自由運用？未來，ECFA如果通過，臺灣的銀行到中國設立分行時，各企業對於跨國使用所擁有的個資，又應該如何因應？都有這些個資境外移轉的因應之道在。

蒲樹盛表示，BS 10012目前還不是全球性的標準，但對於臺灣政府或企業而言，BS 10012清楚載明個資保護PDCA的流程與清楚作法，即便不取得認證，BS 10012標準的內容都對政府組織和企業在個資保護上有幫助。

BS 10012有一個很重要的精神便是，必須維持個資最新狀態，而且必須做到持續更新，但ISO 27001則不要求最新的資訊。蒲樹盛說：「個資資料庫一旦因為沒有即時更新導致錯誤，後續的個資使用就沒有意義了。」因此，他認為，企業即便已經有ISO 27001的資安規範，但企業組織一旦必須肩負個資保護的責任時，便可參考BS 10012的作法。文⊙黃彥棻