2011年11月16日 星期三

新版個資法更近了

個資法修法代表現代社會的進步,不論是明年開始或是繼續延後,法案終有實施的一天,而就在施行細則草案公布之後,這一天似乎就更近一步,已到了箭在弦上、不得不發的時候 

新版個資法的進度又向前邁了一大步,法務部已完成「個人資料保護法施行細則」,並自上周10月27日起公告施行細則的草案。 

在接下來為期2周的草案公告期間(10月27日至11月9日),各界可對個資法施行細則草案提出意見,若無重大意見提出,則法務部預估可如期在11月底將草案送交行政院審查,那麼新版個資法就可望在明年開始實施了。除非是各界反應了很多意見,或是有人提出重大的意見,基於讓法案更完善,法務部就得再召開專家會議,那麼整個時程就會再延後。 

至今距公告結束還有一個禮拜,尚無法得知各界對於施行細則草案的反應,不過就勤業眾信副總經理萬幼筠的看法,他認為施行細則草案大致上是符合多數人原本的期待。因此即使草案仍有可能會修改,但大體上有些原則已經確立了,所以企業不應再觀望,而應該開始著手評估準備了。 

像是大家先前關切的問題之一:告知當事人是否只能採取書面型式?在施行細則草案規定:「得以書面、電話、傳真、電子文件或其他適當方式為之」,因此不限於書面告知,對許多企業而言這無疑是一大解套,但對於沒有掌握當事人的電話、傳真、電子郵件等資料的企業來說,就只能採用書面通知,其所衍生的作業成本可能會很驚人。以臺灣證券集中保管公司為例,他們有8百多萬筆證券個資,若只能以書面通知取得個資使用同意,那麼光是取得同意這件事,起碼就需要3億元以上的成本。 

另一個大家關切的問題:以電子文件取得個資使用同意,是否需要搭配電子簽章才有效力?所幸,電子簽章的主管機關──經濟部商業司表示,依據電子簽章法第4條,只要電子文件的內容可以完整呈現,日後亦可查驗,經相對人同意都可視為書面同意。因此若以電子郵件方式告知當事人,就不需要搭配電子簽章。除非是該電子文件依法令規定是要簽名或蓋章,才需要加上電子簽章。 

至於企業該如何落實個資管理,才能確保已善盡個資保管責任?個資法施行細則依照PDCA(Plan–Do–Check–Act)的持續改善方法,定出了11個企業應著手的面向,包括: 

● 成立管理組織,配置相當資源 

● 界定個人資料之範圍 

● 個人資料之風險評估及管理機制 

● 事故之預防、通報及應變機制 

● 個人資料蒐集、處理及利用之內部管理程序 

● 資料安全管理及人員管理 

● 認知宣導及教育訓練 

● 設備安全管理 

● 資料安全稽核機制 

● 必要之使用紀錄、軌跡資料及證據之保存 

● 個人資料安全維護之整體持續改善 

此外,Log檔(軌跡資料)也被納入個資保護範圍,個資法施行細則第5條規定:「個人資料檔案包括備份檔案及軌跡資料」。因為透過Log檔的資訊,再輔以其他參考資料,有可能還原當事人的個資。所以,企業應當保護與管理的電子資料,就不只是各式檔案、資料庫、備份資料,連Log檔也不能例外。 

這些對於企業都是很大的挑戰,尤其是新版個資法所適用的範圍,幾乎涵蓋全數企業,不論規模大小,只要擁有個資,就必須遵守個資法的規範。這個衝擊之大可想而知,因為就連大企業都還苦惱著到底該做到什麼程度,才能達到善盡良善保管之責,更遑論為數眾多的中小企業。 

個資法修法代表現代社會的進步,不論是明年開始或是繼續延後,法案終有實施的一天,而就在施行細則草案公布之後,這一天似乎就更近一步,已到了箭在弦上、不得不發的時候了。 

吳其勳/iThome電腦報周刊總編輯

沒有留言:

張貼留言