2012年4月24日 星期二

政委:個資保護應循序漸進 勿重蹈ISO 27001覆轍

政委:個資保護應循序漸進 勿重蹈ISO 27001覆轍

在上週剛結束的台北國際資訊安全展當中,個人資料保護法,理所當然成為展覽熱門話題。對於法案通過近兩年,未上路可能就要先修法,行政院政務委員張善政在資安展開幕典禮時表示,個資法條應該是基本的底限,所有人都要達到。因此,法條的嚴格寬鬆標準會再審慎評估。

資安產業出身的張善政指出,任何的法規在制定時應該循序漸進。法條標準如果一開始就訂太高,不僅使用者(企業)負擔很大,業者恐怕也沒有足夠的服務能量。他舉例,就如同過去政府要求A、B級單位必須取得ISO 27001資訊安全管理制度驗證通過,市場需求一下大增,但供應端卻出現良莠不齊的現象,這並不是好事。他強調,個人資料保護一定不能重蹈ISO 27001覆轍。他認為,個資保護應該自然成為市場上的良性競爭,就如同沒有法規要求銀行要裝多少支攝影機,但業者自己會希望把安全等級提升,以作為競爭優勢。

個資法的困境不只是法規標準的問題,主管機關的認定也是其一。在政府組織再造,講求彈性精簡的原則下,個資保護被歸為各目的事業主管機關的管轄範圍,而不是成立個資專責機構。這造成本質業務不是以個資保護為主的各機關一大困擾,也讓人擔心未來監督管理工作如何落實。法務部官員表示,凡是英國各領地(如以前香港)皆設有個資專責機關,在鄰近的韓國、馬來西亞也有專責單位,而日本則是由與消費者權利保護業務有關的經濟產業省(經產省)負責。

目前儘管個資法母法及施行細則(草案)已頒布,但各主管機關的管理辦法仍遲未定案,且陷入膠著。業界人士認為,BS 10012由於內涵英國法案Data Protection Act比重甚高,轉為ISO標準的可能性不大。因此台灣是否需要自訂一套個資保護的CNS國家標準?對此,經濟部標準檢驗局認為,要制定國家標準必須要與國際標準調和,目前有研究日本JISQ制度也密切了解經濟部商業司制定的TPIPAS經驗,未來若確定方向會召開國家標準技術審查會議,將驗證機構(CB)與國家認證機構(如TAF)定義清楚。

(行政院政務委員張善政認為個資法條標準不應太高,個資保護應成為市場上自然的良性競爭)
作者:張維君

轉載自《資安人