即使修正後的新版個人資料保護法施行細則草案還在行政院審查階段,原定今年10月1日正式施行的規劃仍然不變。不論目前選擇的是保持觀望態度,等待施行後發生第一個訴訟判例再決定因應方式;或是正在積極推動因應條文規範的各項調整作業,勢在必行的個資法,將無可避免對企業帶來衝擊與影響。
面對艱澀難懂的法律條文,到底既有的IT作業流程是否得以因應法律規範?可能觸法受罰的風險有多高?若非具備法律背景或業界專家,相信難以有具體的描述,更何況因應法規需要做的改變措施。如今市場上因個資法上路而生的認證標章,或許可以成為企業內部發展資訊安全管理機制的參考方向。
TPIPAS:個人資料保護的基礎建設
 |
| ▲資策會科技法律研究所主任邱映曦建議,企業須落實法規盤點,可清楚明白除了新版個資法規範外,還必須融合哪些目的事業主管機關訂定的特別法,再依此做管理制度上的調整。 |
早在個資法施行細則草案公佈前,經濟部商業司就已委託資策會科技法律研究所進行國內個人資料保護與管理制度規範(Taiwan Personal Information Protection and Administration System,TPIPAS),並於審核通過後授予資料隱私保護標章(Data Privacy Protection Mark,DP Mark)。資策會科技法律研究所主任邱映曦表示,TPIPAS的功能中其實已經把新版個資法內化成為標準制度,可提供企業依此發展資料保護管理策略,自去年(2011)就已開始推動,並在當年年底選定10家電子商務相關企業試辦,實際輔導上線,從一開始說明何謂TPIPAS,擬定導入計畫到實施,預計今年年底前即可開始發放驗證標章。
「初期推動是以電子商務產業為主,但這並不表示TPIPAS僅是專為電子商務而設立,」她解釋,因為當時市場上並沒有個人資料保護法的標準與標章,就連來自英國的標準BS10012都還沒設立,而歐盟方面也只有德國少數地區有推動標章。但日本不僅已有P-Mark制度,是由日本情報處理開發協會負責,且實務上已有超過上萬家廠商取得此一認證,因此成為TPIPAS主要的參考依據。
而電子商務只是TPIPAS試辦的對象,因為制度層面是以新版個資法的管理邏輯為核心,而非電子商務產業,因此這是各行業建立最基本的管理制度皆可參考的範本,甚至可依據產業特性再往上發展,例如電信、金融、醫療、保險等,皆擁有許多該產業特有的法規,以及在個人資料保護方面特有的要求,「因此TPIPAS可說是個人資料保護的基礎建設,供各行業各自延伸不同發展。」邱映曦說。
TSP:以法律思維建置資訊作業流程
 |
| ▲達文西個資暨高科技法律事務所主持律師葉奇鑫認為,因應個資法可先從重點業務項目著手,仔細地拆解作業流程,必定會發現有些環節是現在不解決就會觸法,就非得先做不可。 |
今年初,由達文西個資暨高科技法律事務所主持律師葉奇鑫引進台灣的個人資料保護驗證(Trusted Site Privacy,TSP),同樣是針對個資法而來。他說明,當初引進的初衷,主因是自家經營的飛翔駱駝電子商城必須因應個資法規,但過程中發現實務上並不容易,由於又沒有前例可參考,只能摸索因應之道。
「個資法大致上可分為3個面向,內部管理、防駭技術,以及法律。即使沒有內、外賊,一旦取得個資的方式不符合法律規範,也還是會觸法,因此重點即在於蒐集、處理、利用過程一定要合法。」葉奇鑫說,但當時評估國內市場上的資訊安全管理制度後發現,共通點都是法律層面仍不充足,偏管理面居多,雖然是依據個資法規範的安全注意事項來執行,但實務上卻流於大量文件的撰寫而已。
擁有資訊技術與法律背景跨領域背景的葉奇鑫認為,隱私權或個人資料保護規範標準要求最高的其實在歐盟,才會開始接觸德國驗證公司TUViT,帶入TSP標章,並且把原本依據德國法律制定的TSP,再依國內個資法的構成要件加以修改。
高強度隱私保護:客製化個資控管制度
 |
| ▲微軟亞太區全球技術支援中心專案經理林宏嘉觀察到,國內資訊安全管理發展至今,許多公司或多或少已具備某些程度的管理機制,如今面臨到個資法上路議題,有時只需要在制度面作些調整即可因應。 |
日前微軟也宣佈偕同台灣檢驗科技(SGS),提供專為個資法設計的「高強度隱私保護驗證」服務,其中包括隱私保護技術輔導、隱私風險鑑識以及專業驗證。微軟亞太區全球技術支援中心專案經理林宏嘉表示,一般而言,只要談到特定標章,即代表背後有單一標準規範,但微軟強調的是「高強度隱私保護」,該服務的方法論其實很複雜,並不是連結到一套固定標準模式,而是依據不同企業的營運環境需要,設計出最佳化資訊安全規範,使其能符合個資法的要求。
他補充提到,雖然微軟是解決方案提供者,但對於個資法只會提供純服務性質的顧問工作,不會搭配自家產品一起談,因為個資法本質上就不是單純採用工具可以解決。SGS產品經理何星翰也說明,標章驗證通常都不會對特定產品背書,更何況個資法是個法律議題,並非可有可無的管理制度,必須是可協助訴訟方面的規範,由這個角度切入設計整體性的管理制度,才能夠貼近企業真正需求。
個資法不僅是IT 更該是全公司的議題
既然個資法是一種法律制度,就不能只用傳統IT的思維來看待,可是林宏嘉觀察到,在台灣有個很普遍的現象,企業一談到個資法,大多都是由資訊部門在負責,事實上,個資法應該是全公司的事情,「法律不是用來保護好人,而是用來保護懂法律的人。」林宏嘉強調。
 |
| ▲SGS產品經理何星翰表示,高強度隱私保護驗證在導入過程中會有不同的機制與手法來達到管理目的,所以稽核上也要參考到多個管理規範,來驗證導入的有效性。 |
何星翰認為只要有涉及到個資的蒐集、處理、利用,都應該被納入管理,但目前有許多已取得國際認證的單位是由ISMS(Information Security Management System)再延伸連結到個資管理,還是以為把IT系統流程處理好後,其他單位配合辦理就行了,但是如此一來往往就顯得頭重腳輕,無法全面涵蓋。
同樣的,葉奇鑫亦認同個資法應該是全公司上下的事情,然而就他所接觸的企業現況,個資法議題有八成是交由資訊部門來主導,但即使是已導入國際認證規範的IT單位,心中還是會有疑問:「這樣做就合法了嗎?」