文 / 精品科技 稽核 許樹龍
個人資料保護法在2010年5月經總統府令公布後,延宕實施已超過2年多,行政院終於正式發布公告,除了規範特種個人資料的第6條及間接取得之個人資料須於1年內告知的第54條外,其餘新版個資法的條文在今年 (2012年) 的
10月01日正式施行,同時法務部也一併正式發布新版個人資料保護法施行細則共33條,該施行細則亦於10月01日同步實施。也就是說,因應個資法所需執行的相關措施已從討論評估階段正式邁入執行階段。
1.如果我們公司什麼都不做,會有問題嗎?
在個資法通過後的兩年多裡,市場上已有不少與個資法相關的資訊,相信您應該已經知道什麼都不做,對公司或是組織一定會有影響。但是,在這裡我們用一個最簡單實際的例子,也就是
所有公司組織都有的個人資料—員工資料,來簡要說明在個資法的因應上有哪些應該要做的事。
| 員 工 資 料 | ||
| 項目 | 僅蒐集執行法定義務所需之個人資料 | 蒐集之個人資料含有其他個人資料 |
| 內容包含 | 姓名、身分證字號、生日、地址…等。 | 學習歷程(曾經就讀之國小國中…等)、親屬姓名職業、親屬出生年月日…等。 |
| 1.告知義務 | 符合個資法第8條規定,得免告知。 | 須告知個資法第8條規定之告知事項。 |
| 2.蒐集、處理 |
符合個資法第19條之規定。
但是人員離職後,法定義務消失時,應主動將其個資刪除。
|
若離職後仍會將員工資料保存一段時間,應另外依循符合個資法第19條規定之項目。(如:取得書面同意) |
| 3.利用 | 應用於執行法定義務。 | 應用於所約定之特定目的。 |
| 4.個資當事人權利 | 須依個資法第3條、第10條、第11條、第13條、第14條之規定,因應並提供當事人行使其法定權利。 | 須依個資法第3條、第10條、第11條、第13條、第14條之規定,因應並提供當事人行使其法定權利。 |
| 5.事故管理 | 須依個資法第12條規定,應查明後以適當方式通知當事人。 | 須依個資法第12條規定,應查明後以適當方式通知當事人。 |
| 6.個資安全維護 | 須依個資法第27條採行適當之安全維護措施。(註:可參考個人資料保護法施行細則第8條及第12條) | 須依個資法第27條採行適當之安全維護措施。(註:可參考個人資料保護法施行細則第8條及第12條) |
| 註: 一般公司組織所負之法定義務如:替員工加保勞保、健保,所得稅扣繳申報…等行為。 | ||
從前表簡單說明的資訊中,可以很明確地知道,就算貴公司/組職只擁有執行法定義務所需的個人資料,也無法什麼都不做,除非你已經決定不遵循個資法的規範,願意承受違反法令所帶來的刑事責任、民事責任及行政處罰。
單以員工資料來看, 必須要做到以下事項:(1)列出紙本、電子檔案分別有哪些,並在員工進入公司時,告知使用範圍。(2)訂定規範,限制可以存取的人員,如人事主管、財會人員。(3)確認檔案的生命週期為何,何時需要新增、修改、銷毀。(4)最後定期的查看,是否內部都有遵守這些規定。
若有系統可以直接管理,則可以輕易的管理這些個人資料,若有外洩事件發生時,可以立即調出存取記錄,了解事故發生的原因。
2.我們該導入TPIPAS制度嗎?
TPIPAS全名為「臺灣個人資料保護與管理制度規範,Taiwan Personal Information Protection andAdministration System」,是經濟部商業司參考日本經驗,委由資訊工業策進會科技法律研究所執行「電子商務個人資料管理制度建置計畫」,針對電子商務業者所制定的個資保護管理的驗證制度。通過TPIPAS驗證的企業,可以取得DP Mark (資料隱私保護標章),預計在2013年會擴大到商業司管轄的服務業皆可申請驗證。目前僅有8家公司通過資策會科法所審核推薦,取得導入TPIPAS制度輔導機構的資格,精品科技是其中之一。
整個制度的基礎架構模式與常見的國際標準相同,皆是以PDCA的方法論為基礎;TPIPAS制度總共分為10章,對於事業體主要行為的規範落在第4~9章等6個章節,簡要說明TPIPAS章節內容如下。
- 前言:概述TPIPAS、訂定目的、用途及PDCA方法論。
- 適用範圍:說明制度規範係針對蒐集、處理、利用及國際傳輸個資之事業,訂定相關規範事項。
- 版本標示:說明應註明引用版本,未註明者視為使用最新版本。
- 用語及定義:說明制度規範中重要名詞、特殊名詞及用語之定義。
- 要求事項:說明各個事業體建立個人資料保護管理制度之具體要求事項,如:管理政策、管理手冊、風險管控措施、個資蒐集處理利用之管理、委外管理、當事人權利管理、管理監督、教育訓練…等。
- 管理責任:說明各個管理階層的責任,及特殊人員的資格要求。
- 有效性量測:說明制度規範中重要名詞、特殊名詞及用語之定義。
- 文件及記錄範圍:說明必要之文件,文件管理及記錄管理之要求。
- 內部評量:說明每年應進行內部稽核,以確認制度及制度之執行符合法令、法規、公司內部及外部合作組織之相關要求。
- 改善:包括定期檢視之持續改善,以及立即處理的矯正及預防措施等規定。
在簡單了解TPIPAS制度後, 便可以討論導入TPIPAS是否是公司因應個資法的必要選項呢?很抱歉這個答案仍是個選擇題,各個公司組織可以視實際需要決定是否導入TPIPAS。不過,可以確定的是,導入TPIPAS的確可以協助公司在個人資料保護管理做得更好,而且TPIPAS制度要求須遵行法令,制度要求的事項亦可以對應個人資料保護法施行細則第8條及第12條的適當安全維護之參考管理項目,並透過維持制度持續有效的外部監督機制,讓公司擁有另一個客觀的角度可以提出協助改善的建議,減少內部執行的盲點。此外,取得制度之驗證亦可增加公司商譽的價值。
3.什麼樣的產品才適合我們公司?
以上都是因應個資法所需增加的行政程序,為了避免被增加維護成本拖垮,讓握有個資維持在正資產的價值,建議企業需遵循最小蒐集原則加上個資使用期限,來控管個資數量。藉由盤點企業手上握有的個資,把不需要或已經用不到的個資銷毀,只留下有價值的個資。並主動告知客戶,你擁有他哪些資料,提醒他我們是在哪一次的活動中獲得他的資料,這些資料會拿來做那些用途。趁著因應個資法向客戶宣告,我們是注重個資的優良企業,也向潛在客戶聯繫,增加行銷機會。
下表簡單地將防護方式分為:紙本資料實體防護、電子資料外部防護、電腦資料內部防護。其中實體防護無須多加描述,而電腦資料外部防護在網路服務已應用多年的前提下,目前多數公司皆已有規劃並執行。根據統計,大多數的資訊安全事件、個資外洩事件都是由內部人所造成的,因此電腦環境的內部防護已成為目前資訊安全防護措施的重點,亦近幾年來大家關注的議題。根據iThome2012年個資法大調查,61.3%的企業採購資安產品來因應個資法,而個資法的經費投資重點如下表:
| 資料型態 | 資料型態存在型態 / 流通方式 | 防護方式 | 實際防護作為 / 產品 |
| 紙本資料 | 實體流通 | 實體防護 |
• 存放區域區隔、上鎖
• 門禁管制軟體
• 電子鎖/實體鎖
|
| 電子資料 | 電腦主機 / 網路流通 | 外部防護(防止入侵) |
• 防火牆
• 防毒軟體
• 網路安全軟體
|
| 電腦主機、伺服器 / 端點存取、內網流 | 內部防護 |
1.實體環境防護
2.電腦環境防護 (資訊安全產品):
DLP軟體 (防洩密)
DRM軟體 (加密)
內容掃描軟體 (盤點)
Log記錄軟體 (監視)
|
不過,在評估上述相關資訊安全產品時,該如何選擇呢?我個人給的答案是預防勝於治療,建議優先選擇防護類型的產品。另外,施行細則第12條也特別提到「使用紀錄、軌跡資料及證據保存」,因此資訊安全防護軟體的記錄能力也是一個重要的評選項目;而記錄不只是保存數位化Log而已,重點在於要能夠證明採用資訊安全防護的記錄軌跡,以及「還原」事件原本的面貌。
【 結語 】
因應個人資料保護法的正式施行,所有公司組織都應該增加或調整公司管理制度,並視實際狀況及可用資源導入資訊安全軟體,協助保護個人資料,善盡管理者之義務,以避免個資提供者之人格權受侵害,並促進個人資料之合理利用,以達成立法保護個資之精神。