個資法與資訊長的緊張關係

已經延宕了近2年的新版個人資料保護法，日前在新任閣揆陳?的指示下加速辦理，預期會在7月正式上路。

經行政院長這麼一指示，許多企業就開始認真評估起個資法因應對策了，而資訊長與個資法之間的關係，也就跟著緊張了起來。

在新版個人資料保護法三讀通過時，有一位資安顧問告訴我，他的一位資訊長朋友，已經打算要趁個資法上路前能退休就趕緊退，原因是這位資訊長認為個資法是一件吃力不討好的事，因為公司高層把個資法認定為是資訊安全的議題，而資訊安全本來就是資訊長的管轄範圍，所以因應個資法的責任當然落到資訊長的頭上。

這位資訊長對於個資法倒是有清楚的認知，他了解到個資法與資訊安全是不能畫上等號的，而且新版個人資料保護法是由原本的「電腦處理個人資料保護法」修法而來，目的就是要將個人資料保護的範疇由原本只限制為經電腦處理，擴大至所有個人資料，不論是電腦裏的資料，或是紙本的資料；存在機房裏的資料，或是員工電腦裏的資料，只要是個資法所定義的個人資料，都得受到個資法的規範。

如此企業所要保護的個人資料，其實是散播在每一個角落。這樣的規模其實已經遠遠超過了資訊長所能管轄的範圍，如果企業高層沒有因此賦予資訊長一把個資法的尚方寶劍，讓資訊長擁有對等的權力去要求各部門調整流程，那麼是不可能把個資保護這件事做得好。如果沒做好，一旦出事了，責任還是得由資訊長來承擔，因而這位資訊長才會想要趕在個資法上路前急流勇退。

言猶在耳，報紙就刊載萬芳醫院一起資料外洩事件，因為誤把印有病歷資料的文件回收當成便條紙再利用，使得民眾取用便條紙時也看到了別人的病歷資料。光是廢紙回收這麼一件事，也可能導致個人資料外洩，可想而知，資訊長要全權承擔個資保護責任的話，其壓力會有多大。

資訊長與個資法之間的緊張關係，不只是發生在這位資訊長身上。根據我們今年最新的CIO大調查「iThome 2012年CIO大調查」的結果，這是許多資訊長普遍面臨的困難。

在因應個資法的三大困難之中，首要困難是「個資分散各部門」，其次就是「因應個資被視為只是IT部門的責任」，第三則是「缺乏一勞永逸的因應作法」。

甚至，「把個資法視為是IT部門責任」的這個問題，是不分產業都會面臨的困難，就算是因應個資法起步較早的金融業，依然有資訊長反應這是一個令人頭痛的問題。

企業普遍把個資法認為是IT部門的責任，其實與現今企業多數的資料都電子化是有關係的，所以，IT與個資法勢必是脫離不了關係，甚至是有很大的關係。但是，企業老闆也必須認知到，個資法不等同於資料外洩，個資法所規範的是個人資料的「蒐集」、「處理」與「利用」 的三大部分，對於個人資料的保護必須由資料生命周期來看，個資的蒐集與利用，通常是業務部門執行業務所為，而個資的處理則與IT部門有直接的關係，因此個資法的應對策略，就不全然是IT的議題。

個資法因應對策要做得好，更關鍵的是跨部門的整合，如何有效整合全公司的資源，打通各部門之間的桎梏，這其實不是資訊長權責做得來的，而是得靠企業老闆帶頭做起。

對於IT而言，雖然個資法勢必會讓IT緊張起來，然而若老闆對個資法有正確的認知，適時給予IT部門應有的權責，那麼這也將會是一個IT部門可以把握的機會，因為IT會更深入所有業務流程，展現其更大的價值。

吳其勳／iThome電腦報周刊總編輯