個資法要來了,行政院拍板決議個資法10月1日上路。但是法條內容卻還沒完全底定,行政院急著在9月送出個資法修正案,希望能在施行前完成修法,否則將暫緩實施爭議較大的2項條款。法條一日無法定案,企業的因應方式就還會有變數。這也是許多企業目前最大的焦慮,不知該如何因應,才能符合法規要求。儘管法條修訂結果尚未定案,企業倒是有一個最佳的因應切入點,那就是個資法施行細則草案要求的11項安全維護措施。

個資法早於2010年5月26日公告,但是依法仍然需要訂定施行細則,來提供更具體的規範。所以,法務部去年10月27日起進行14天的個資法施行細則的預告,經過產官學界討論後,在今年也完成細則修訂送到行政院審定。

依據去年10月公告的個資法施行細則草案版中的第9條,定義了企業應該要採取的適當安全維護措施有11項,包括了‥一、成立管理組織,配置相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、必要之使用紀錄、軌跡資料及證據之保存。以及最後一項是個人資料安全維護之整體持續改善。

據了解,目前正在行政院審定的施行細則,也同樣要求企業必須完成這11項安全維護措施,不過,針對第一條的內容略有修改,從必須成立管理組織,改為只需要有專責人員負責即可,換句話說,企業也可以指派一個人負責企業內部的個資法相關管理措施。其餘10項措施,則和當初公告的要求一樣,只有字句修飾的調整。

所以,這11項安全維護措施將會是任何企業都必須符合的基本要求。對於還不知從何下手展開因應的企業,正是最好的切入點。這11項不只是細則法規要求的必要做法,也提供了一個施行架構,從個資盤點、個資運用、管理到長期維護的歷程提供了一個循序執行的分段作法。

針對這11項安全維護措施,資策會科法所科技應用法制中心組長郭戎晉認為,企業可以從PDCA循環(Plan-Do-Check-Act,品質管理循環)流程的概念來思考如何建立企業內部的個資保護措施。

郭戎晉參與了商業司委託的臺灣個人資料管理與保護制度建立,也輔導過多家企業建立個資保護制度,從這些經驗中,他也針對這11項企業落實安全維護措施提出要注意的重點。

安全維護措施1

企業建置內部的個資保護制度時,必須涵蓋擁有個人資料的各個部門,並且指派專人或是專責小組負責整體的規畫及執行。郭戎晉認為,由誰擔任專責人員對落實與否沒有絕對的影響,最重要的是高層的支持以及擁有企業資源的支持。郭戎晉輔導的企業中,多半由法務部門或是IT擔任這個角色,其中更有企業將建置個資保護制度納入營運目標,作為全體員工共同追求的目標。

安全維護措施2

企業進行個資保護制度時,第一步必須先了解企業內部有哪些個人資料,可設計個資盤點表單來清查。設計個資盤點表單時,欄位不宜太多亦不可太少,太多會造成使用者的不便,太少則又恐遺漏個資。設計的方式可依部門分類或是資料流,郭戎晉建議,部門較少的企業適合採用部門分類方式,若企業組織龐雜,部門繁多則適合從資料流的方式區分資料從蒐集、處理到利用等不同階段來分類。此外,企業也可執行隱私權衝擊分析(Privacy Impact Assessment,PIA),能清楚知道找出哪些是關鍵資料或是較為敏感的個人資訊。

安全維護措施3

建立個人資料之風險評估及管理機制時,有兩種常見的個資風險評估作法,第一種是對不同的事故給予權重的分數,再將這些風險依分數區分為高、中、低三個等級;另一種作法則是情境式的作法,即為針對不同事故風險提出相對應的解決辦法。

安全維護措施4

個資法第12條明定,若有事故發生導致個資外洩,企業須查明後以適當的方式通知當事人。也就是說,企業必須建立順暢的管道,除了通知當事人外,還應該 提供詢問及申訴的方式。

安全維護措施5~8

安全維護措施第5條到第8條,要求企業建立個人資料蒐集、處理及利用的相關內部管理程序,以及資料安全管理、人員與設備安全管理,以及認知宣導及教育訓練的維護措施。郭戎晉建議,企業應針對這些項措施撰寫符合法規要求的程序書,各項程序書集結成冊即為企業內部管理手冊。而且,這些程序書除了妥善保存之外,也必須因應法規的變動或是驗證單位的要求進行更新。最重要的是,企業必須對員工公告這些管理內容,讓每個員工清楚了解這些程序書放置於何處,要如何查看。此外,企業應定期提供教育訓練提升員工意識,且針對教育訓練的結果進行評量。

安全維護措施9

企業可透過內部稽核或是第三方驗證單位來檢視目前的個資保護制度是否完善以及有無達到法規的要求。

此外,在建置個資保護制度時,企業可聘請專業的顧問公司進行協助,可讓建置過程更有效率。

安全維護措施10

任何透過上述的內部管理程序所產出的記錄,不分紙本或是電子檔,皆須妥善保存。

郭戎晉表示,企業若是能成立文件控管單位管理紙本文件,對於資料保存會是一大幫助。

安全維護措施11

安全維護措施最後一項要求是持續改善,但郭戎晉提醒,持續改善作業並不是因為出現了事故才要執行,企業或多或少都會受到內在或是外在的因素影響,故管理階層必須定期召開會議討論如何持續改善。

而較為常見的三種需持續改善的情況為:內稽後所產生的內稽報告、法規修改或是驗證單位要求、企業營運事項更動以及其他重大變故。文⊙王宏仁、張景皓

(看大圖)

(看大圖)


相關報導請參考「個資法拚上路,行政院提修法」


熱門新聞

Advertisement