協助企業符合法令規範 個資保護驗證標章需求興起

葉奇鑫舉例解釋，ISO 27001主要針對資訊安全管理進行驗證，較偏重資安管理而非個人資料保護，而BS 10012雖然是專為個人資料保護與管理所提出的認證機制，但不盡然符合本國新版個資法的規範。

專為新版個資法所打造的認證標章

為了能夠達到新版個資法的適法性，經濟部委託資策會擬定一套契合個資法的臺灣個人資料保護與管理制度規範TPIPAS（Taiwan Personal Information Protection and Administration System），並且推動可做為認證的兩年期個人資料隱私保護標章DP Mark（Data Privacy Protection Mark）。

▲達文西個資暨高科技法律事務所主持律師葉奇鑫表示，個人資料保護與管理相關的驗證制度與標章，必須能夠檢視資料蒐集與使用行為，是否具備合法性。

TPIPAS制度與DP Mark標章

TPIPAS主要是以「計畫─執行─檢查─行動（Plan-Do-Check-Ace）」PDCA方法論為基礎，針對蒐集、處理、利用與國際傳輸個人資料等環節擬定規範，確保個人資料管理制度確實執行，進而達到個人資料保護安全性。

資策會科技法律研究所科技應用法制中心主任邱映曦表示：「TPIPAS的特色除了基於PDCA架構之上，利於流程化管理需求之外，由於這套制度是專為台灣新版個資法所設計，因此也較契合法規要求，進而達到法律與管理的結合。」另外，TPIPAS參考的是日本個人資料管理制度以及隱私權標章而重新擬定的，因此也能夠達到借鏡國際經驗的目的，與國際接軌。

▲資策會科技法律研究所科技應用法制中心主任邱映曦表示，國際標準的好處在於其涵蓋範圍較廣，但必須留意其內容是否符合本地個資新法的規範。

TSP個人資料保護驗證與標章

與TPIPAS制度不同，TSP個人資料保護驗證與標章可不受限於產業進行查檢與發放，葉奇鑫表示，TSP個人資料保護驗證不僅只針對管理與技術面向，同時也提供法律必要項的查檢，「這是許多個資盤點所缺乏的一環，但正是法律事務所的強項。」他解釋，TSP個人資料保護驗證可針對法律必要項、管理必要項以及技術必要項進行查檢，確保組織企業保護資料現況的適法性，「透過法律顧問與技術專家，我們能夠分別給予合適的建議與判斷，讓企業調整與改善，以符合法令規範。」

他舉例，當技術與管理面向不符合法令規範時，技術專家可提供調整或改變流程與做法，使其達到合法性；而若是資料蒐集、處理與利用的流程，或者是資料本身的留存是否具合法性等問題，則可交由法律顧問專家來提供諮詢服務。「採用TSP的好處在於，透過法律事務所的協助與認可，取得德國TUViT直接發放的標章，當企業遇到法律訴訟問題時，可提出經由法律顧問協助而取得原廠發放的驗證標章，來證明非故意之過失。」

此外，TSP是一套針對「服務」進行查檢的認證標章，葉奇鑫表示，企業可針對組織內最有價值、最核心的部分服務，局部框出範圍來進行查檢驗證，「例如會員資料，或是企業內部員工資料等等。」與針對產品或組織的驗證不同，葉奇鑫說，這種以服務進行局部性查檢驗證的好處在於企業接受度與執行上較為容易，「TSP可讓企業循序漸進達到個資盤點與查檢，不管是成本或人力，可降低企業盤點與調整的陣痛期，尤其適合大型企業採用。」

他進一步解釋，中小企業較能夠直接針對組織進行全面性的查檢盤點，因此導入TPIPAS或TSP的差異感較小，然而若是大型企業，往往牽一髮而動全身，要想一次全部盤點查檢著實困難重重，TSP制度以局部性漸次進行的方式，較能達到查檢目的與成效。「當然，企業若是希望能夠以TSP制度進行全面性查檢也是可以的，只要將查檢範圍擴大到整個組織即可。」

事實上，無論是TPIPAS或TSP，或者是BS 10012、ISP 27001等驗證制度，仍然沒有一套制度是能夠完全確保協助企業符合100%個資新法的法令規範，即使是標榜針對個資新法所擬定的TPIPAS，目前有其產業限制，而號稱依照目前所公布的個資法內容所重新調整的TSP，也還有待尚未出爐的施行細則檢視，以及企業市場的考驗。

不過，可以確定的是，有別於過去企業面對新版個資法的無所適從與茫然，透過越來越多的個資（或資安）保護查檢機制，可協助企業重新檢視資料處理現況，進而降低違法的可能性，同時，這些查檢機制與標章，也能成為企業真正開始因應新法的驅動力。