個人資料保護法 PDCA 個資遵循 個資法

個資法教戰守則 六大面向落實個資保護

2013-01-28
落實個資保護,企業須依相關法令規定制訂包括指導性的個資保護統一政策、個資保護各面向的規定與SOP以及個資相關文件範例規範,而且還須仰賴人力徹底執行。
個人資料保護法制定公佈2年多後,終於自2012年10月1日起正式實施,其規範對象包括任何自然人、法人或團體,保護客體則擴及於任何得以直接或間接方式識別個人的資料。個資法保護個資,同時也增加企業的違法風險與遵法成本。展望新的2013年,企業應審慎研擬並落實遵循個資法的教戰守則。

個資危安無孔不入

個資危安事件層出不窮,中外皆然,尤以員工管理內控不當為大宗。2012年11月間國內傳出客戶申辦F銀行信用卡的個資大批流入廢紙回收商事件,F銀行經調查後聲明:該案係某離職員工私自影印所持有或竊取客戶之信用卡申請資料於離職後攜出,又因己身保管不當遭人竊取。F銀行後續之處理除通報金管會外,亦將對該員工及另案之竊取者提出民事、刑事訴訟。

12月間則發生澳洲2DayFM電台兩名主播在英國凱特王妃懷孕消息傳出之後,冒充英國女王和查爾斯王儲打惡作劇電話到凱特就診的醫院,詢問關於凱特病情的隱私(依我國個資法,醫療資訊屬於敏感性的特種個資,原則上不得蒐集)。該惡作劇事件甚至導致受騙的護士自殺,也讓英國皇室再度因其成員隱私遭媒體揭露(如哈利王子裸照、凱特王妃私人渡假上空照)而成為鎂光燈的焦點。

個資保護的法律體系

個資危安可透過法律直接規範不法行為或間接藉由規範技術安全措施予以控制。

然而,徒法不足以自行,個資保護要落實,尚須企業依相關法令規定制訂如下之相關規範,且須靠人力執行:

1.指導性的個資保護統一政策
此猶如憲法,應呈董事會決議通過,除可藉此彰顯企業對個資保護的重視之外,亦有助於董事主張其已盡監管義務而免責。

2.個資保護各面向的規定與SOP
此猶如法律與行政規則,企業應設有專責委員會依據指導性的個資保護統一政策制訂相關規定與標準作業程序,並負責個資保護之規劃、協調、執行、監督及考核。由於個資保護涉及企業諸多部門如人資、業務、法務、資訊、公關等,因此該委員會成員應由相關部門之代表組成,最好還能設置專任或兼任的隱私長。

3.個資相關文件範例
例如個資搜集、處理及利用之告知函與同意書等,此猶如法院判決。就個資相關文件的處理,實有賴許多第一線的員工確實執行並做成記錄存查。

企業個資保護的六大面向

個資保護規範的具體落實有以下六大面向:

1.個資盤點及分類整理的面向
企業依業務類型之不同,其客戶個資類型亦有異,但一定都包括企業員工的個資。透過個資盤點,有助於企業全面掌控個資種類、數量及在企業各部門分佈情形,方得進一步予以規範管理。

2.個資搜集、處理及利用的面相
個資法最核心的規範重點即在於個資搜集、處理及利用,主要係採取「告知後同意」(Informed Consent)的機制,有必要依當事人類型(如員工、客戶、合作廠商、參訪人員、網站使用者等)預先準備告知函與同意書之例稿。企業如外包委託他人搜集、處理及利用個資,亦須善盡監督與管理之責,否則該第三人如有個資違法行為,依個資法第3條規定,視同委託機關之行為。

3.提供當事人查詢以及主張權利的面相
個資法第3條賦予當事人就其個資有查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用以及請求刪除等權利。因此,企業應提供個資聯絡之統一窗口及請求文件的例稿與處理記錄,確保適當回應當事人的請求。

4.個資安全措施的面相
個資法第27條規定非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏。關於何謂個資安全措施,個資法施行細則第12條有詳細規定。企業為建制個資安全措施勢將支出相關軟硬體及人員的費用,為避免耗費過鉅而損害商業發展,個資法施行細則亦特別規定安全措施所須支出之費用與所欲達成之個資保護目的以符合適當比例者為原則。

5.個資業務檢查的面相
企業應定期並隨時對個資保護之執行進行監督與考核,以確保相關政策與規範具體落實並改進。此外,依個資法第22條規定,中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反個資法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料,因此企業亦應對行政檢查有所準備因應。

6.個資危安事件通報及危機處理的面相
企業一旦發生個資危安事件應儘速調查並通報當事人,且應進行危機處理以控制損害。依個資法第12條規定,一旦企業違反個資法規定致使個資被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。關於何謂適當方式通知?個資法施行細則第22條規定係指即時以書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉的方式為之。但耗費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知的方式為之。至於通知之內容應包括個資被侵害之事實及已採取之因應措施。

展望新的2013年,企業應審慎研擬並落實遵循個資法的教戰守則,可採取品質管理的PDCA循環(Plan-Do-Check-Act Cycle),亦即針對個資保護工作按P(Plan,規劃)、D(Do,執行)、C(Check,查核)以及A(Act,行動、維護與改進)來進行有效管理。

此外,企業也有必要就其個資保護的努力成果取得具公信力之認證機構所製發的個資安全標章(如DP Mark)及ISO 27001與BS 10012的資安認證,此舉將有助於企業依個資法第29條規定證明其無故意或過失而免責。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!