- 精品科技 行銷部
淺談個人資料保護法與內部控制
文 / 精品科技 稽核室 許樹龍
民國99年4月《個人資料保護法》在立法院三讀通過,對於個人資料的保護管理,從此跳脫出原本舊法規電腦處理個人資料保護法設定的電腦框架,也跳脫了原本只有特定行業受到管轄的限制;亦等於正式向世人昭告「個人資料是重要的、有價的,是必須受到保護的」,已不是幾句人人呼喊的口號,而是即將成為所有擁有個人資料的組織必須採取的行動!愈加成熟。在法規通過之後,經過二年多的時間,個人資料保護法施行細則已在101年9月正式公告,而個人資料保護法亦在101年10月1日正式施行;然而這一連串的資訊對大多數的公司來說也留下了一個疑問-《個人資料保護法》的正式實施,對公司的影響有這麼重要嗎?公司須要對此作出回應嗎?
公開發行公司內部控制制度的目的
然而,先從內部控制的觀點來看《個人資料保護法》與公司的關聯:
- 《公開發行公司建立內部控制制度處理準則》(以下簡稱:處理準則)第三條 公開發行公司之內部控制制度係由經理人所設計,董事會通過,並由董事會、經理人及其他員工執行之管理過程,其目的在於促進公司之健全經營,以合理確保下列目標之達成:(1) 營運之效果及效率。(2)財務報導之可靠性。(3)相關法令之遵循。
從上述條文內容來看,公開發行公司的控制設計本就包含了法令遵循一環,因此個人資料保護法正式施行,所有公開發行以及即將公開發行的公司就應適時考量控制設計是否符合《個人資料保護法》的規範。
- 在處理準則第六條 公開發行公司之內部控制制度組成要素第二項- 風險評估:係指公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可能性之過程。其評估結果,可協助公司及時設計、修正及執行必要之控制作業。
第二十三條 公開發行公司自行檢查內部控制制度之結果,以公司之內部控制制度是否能合理確保下列事項,分為有效之內部控制制度或有重大缺失之內部控制制度:
- 董事會及總經理知悉營運之效果及效率目標達成程度。
- 財務報導係屬可靠。
- 已遵循相關法令。
根據上述規定,《個人資料保護法》的正式實施是否應納入風險評估的考量,則考驗著各個公司的風險管理制度,以及內部控制自評作業的落實程度;然而,內部反應較為迅速或是公司治理程度較高的公司,可能早在法規通過時,於執行99年度內部控制制度自行檢查作業之時,便將《個人資料保護法》對公司的影響考量在內,並做出必要的因應措施。
IT界擁有各式各樣的人才,也開發出成千上萬種的不同需求出來,找到合適的方案才是對公司運作有正面的功用。
《個人資料保護法》的範圍
再從《個人資料保護法》的內容來看其正式實施對公司是否有影響:
- 《個人資料保護法》第一條 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。《個人資料保護法》第二條 用詞定義的第八項非公務機關:指公務機關以外之自然人、法人或其他團體。上述法規內容已明確敘明所有非公務機關,不論用何種方式蒐集、處理、利用個人資料都必須受其規範,只要擁有個人資料的公司,都在《個人資料保護法》的管轄範圍。
- 《個人資料保護法》第二條 用詞定義的第一項 個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
上述法規內容已明確說明個人資料的範圍。而絕大多數的公司、組織,都不可能沒有上述個人資料。
從上述兩個不同面向的觀點看來,《個人資料保護法》的正式實施之於公開發行公司,是絕對不可能沒有影響,也不可能不須做出任何回應的。
面對《個人資料保護法》實施須考量的風險議題
既然《個人資料保護法》的正式實施對公開發行公司有一定影響,到底我們應該替公司注意那些風險呢?以下略舉幾項公司在面對《個人資料保護法》須考量的控制風險(未涵蓋所有風險考量及法規範圍):
- 根據《個人資料保護法》第六條規定,有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。…(法令尚有規定,此處未完全引用條文內容。) 一般公司會依照勞工安全衛生法規定施行定期健康檢查並留下健康檢查報告,然而許多的公司為了體恤員工辛勞,往往會安排多項規定以外的健檢項目,而留存的資料若是有超過法令規定的健康檢查項目,應列入違法風險的評估,並考量是否需改變公司相關作業的執行方式。雖然個資法第六條目前暫緩實施,建議仍應及早規劃相關因應控制作業。
- 《個人資料保護法》第八條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。…(法令尚得免為前述事項告知之規定,此處未完全引用條文內容。)以上內容為《個人資料保護法》明確規定蒐集個人資料的應告知事項。而內部相關控制或是作業程序設計是否符合此項規定? 若已符合規定是否留有記錄? 記錄應留存多久? …等,皆為公司回應此項規定應考量的項目。
- 《個人資料保護法》第三條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。以上第三條的內容明確說明了法律賦予個資當事人權利的不可侵犯性,再加上《個人資料保護法》第十條 限制當事人行使權利之規定以及第十三條 公務機關或非公務機關處理當事人行使權利的期限,都應該在個資當事人行使權利項目控制設計的考量範圍。舉個簡單的例子:若是貴公司擁有我的個人資料,我就可以根據此條文的規定,隨時提出查詢資料或是要求給予副本…等法律賦予的基本權利行為 。由於此項規定以及實施個人資料保護措施之考量,在依據《個人資料保護法》第八條蒐集個人資料,決定個人資料利用期間時,公司應適度考量長期擁有某些個人資料究竟是資產,抑或是負債。
- 《個人資料保護法》第二十七條:非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。…
另外,在個人資料保護法施行細則第十二條亦有說明公務機關或非公務機關採取技術上及組織上之措施得包含下表所列事項。
也就是說,公司組織在因應《個人資料保護法》各項規定而建立內部控制制度的同時,亦須考量現代科技在內部應用的情況,使用合乎公司風險考量的技術性產品,以有效保護所保管之個人資料。
結語
科技技術的進步、社會環境的變化、法令法規的修訂…等,都有可能對公司造成極大的影響,如何讓各個重要風險項目進入公司組織的風險評估系統,並有效地產生各項回應對策,正考驗著所有公司組織,也是目前重要的課題之一。
過去在《個人資料保護法》因應的議題上,常聽到有人回應我們公司未蒐集個人資料,內部控制無須特別調整 ,或是 這是資訊部門的事與我無關 。以上《個人資料保護法》與內部控制的簡單介紹雖未涵蓋所有層面,仍希望能讓大家在面對《個人資料保護法》時,提供一點幫助