「個人資料保護法」於去年4月27日經立法院三讀通過,千呼萬喚始出來,法務部直到今年10月27日才在官方網站公布個資法施行細則草案。個資法與施行細則預計於明年正式實施。
新版個資法將取代過去的「電腦處理個人資料保護法」,保護客體不限於電腦處理的個人資料,而擴及於任何得以直接或間接方式識別個人的資料(如姓名、出生年月日、身分證字號、教育、職業、聯絡方式等)。另就規範的對象而言,除公務機關外,亦不再侷限於特定行業,將包括任何自然人、法人或團體。
個資法生效施行後,將對個人資料提供更確實的保障(包括行政、民事以及刑事救濟管道),且對各行各業、新聞媒體以及所有民眾如何蒐集、處理及利用個人資料將產生重大影響。
何謂個資安全措施
企業為符合個資法規定,除須善盡告知義務以取得個人同意而蒐集或處理個資之外,亦有必要建置「個資安全措施」以防範個資外洩,特別是近來層出不窮的駭客入侵事件。個資法第27條即規定:非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏。
關於何謂「個資安全措施」?個資法施行細則草案第9條規定包括下列事項:
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。
企業為建制「個資安全措施」勢將支出相關軟硬體及人員的費用,為避免耗費過鉅而損害商業發展,施行細則草案特別規定安全措施所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。至於適當比例為何?屬個案認定(case by case),應經成本效益分析,企業尚無需不計成本地構築固若金湯的資訊防火牆。
然而,企業若未建制必要的「個資安全措施」,依個資法第48條規定得由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰。
此外,個資遭駭的當事人另可依個資法第29條規定,以企業違反個資法規定,致個資遭不法蒐集、處理、利用或其他侵害當事人權利為由,要求企業負擔損害賠償責任。個資法於第34條訂有集體訴訟機制,以利受害者團結起來主張權利。
適當方式通知規定
「個資安全措施」亦應包括事後通報機制,以彌補事前防範之不足。依個資法第12條規定,一旦企業違反個資法規定致個資被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。關於何謂「適當方式通知」?個資法施行細則草案第18條規定係指即時以書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。至於通知的內容,應包括個資被侵害之事實及已採取之因應措施。
面對即將全面施行的個資法,企業應及早佈局規劃,建置必要的「個資安全措施」,並積極取得具公信力的認證機構所製發的個資安全標章(如DP MARK)。另鑑於資訊安全及個資保護牽涉範圍複雜,企業可考慮設置資訊長或隱私長以綜理相關事務,並有效率地監督資安任務之執行。
(本文作者現為執業律師)