2012年7月31日 星期二

個資法實施倒數計時,最快3個月後施行

個資法實施倒數計時,最快3個月後施行

法務部按照日前政委建議行政院於今年10月1日正式施行個資法的進度,已經將個資法施行細則送進行政院待審。也意味著企業只剩下不到3個月的時間因應

為了因應新版《個人資料保護法》(簡稱個資法),臺灣企業還剩下多少時間可以準備?若依原訂政委建議的施行日期,如期完成行政院審查,新版個資法將於10月1日施行,企業只剩下不到三個月的時間,可以因應個資法要求種種規範。

個資法細則送政院待審,無爭議將於10月1日施行
新版個資法自從2010年5月26日總統公布以來,因為法案本身仍有許多爭議;加上,2011年10月27日公布的施行細則草案中,在母法爭議未解、細則草案定義不明的情況下,行政院遲遲沒有公布新版個資法的正式施行日期。

不過,今年2月新的內閣改組後,行政院長陳冲指派政務委員張善政、羅瑩雪召集相關部會,針對新版個資法施行進度召開協商會議,4月底提出擬建議新版個資法可於今年10月1日正式施行。


法務部法律事務司副司長鍾瑞蘭表示,法務部仍按照先前政委建議10月1日施行個資法的日期執行後續進度,已將施行細則送進行政院待審。

法務部法律事務司副司長鍾瑞蘭表示,行政院長陳冲雖然還沒有正式批准是否在10月1日正式施行新版個資法,但法務部仍配合先前建議施行的時程,已經將新版個資法施行細則草案送進行政院準備進行審查。

鍾瑞蘭指出,此次送進行政院進行個資法施行細則草案審查與2011年10月底公布的細則草案最大的差異點在於,此次院版拿掉細則草案第5條的「軌跡資料」(Log Files)的字句和部分文字描述的調整。

也就是說,多數人都認為軌跡資料如果已經和個人資料檔案密不可分,相關的蒐集、處理、利用和刪除等,如果已經受到新版個資法的規範,也就無須再以細則條文明訂相關軌跡資料該如何保存;若軌跡資料多是系統設備的存取資訊與個資無關,不受個資法規範,保存與否則受各公務與非公務機關的資訊部門操作流程規範而已。

既然個資法施行時間的最快只剩下三個月,加上此次個資法影響到各行各業和每個人,因此,因應新版個資法已經不是少數人或者是該不該面對的問題,而是,該怎麼面對?如果,距離新版個資法施行的時間還剩下三個月不到,多數企業還來得及面對嗎?

雖然時間緊湊,不過企業從最容易的成立個資專案小組後,針對同仁宣導個資法對公司營運帶來的衝擊和影響,實際需要花心力執行的第一步則是,設法掌握全公司個資分布的個資盤點。


細則草案點出個資盤點的必要性

在施行細則草案中,便已點出了企業因應個資法的第一步,就是個資盤點。在2011年10月27日公布的個資法施行細則草案中,第九條便明訂,若要做到個資防護,擁有個資的公務與非公務機關,應該有適當的安全維護措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,並明訂了11項的安全維護措施。

這11項安全維護措施包括:一、成立管理組織,配置相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、必要之使用紀錄、軌跡資料及證據之保存。十一、個人資料安全維護之整體持續改善。

勤業眾信(Deloitte)會計師事務所副總經理萬幼筠表示,安全維護措施的第二點「界定個人資料之範圍」就已經明確點出個資盤點的真實意義,那就是從法規規範企業必須重新審視手邊所擁有的各種個人資料,是否是當事人直接提供或者是間接蒐集而來;而這些個資使用目的是否已有變更;甚至是確定個資相關的蒐集、處理、利用、儲存、銷毀與國際傳輸的狀態等,都是在界定企業所擁有的個人資料範圍。他說:「這個界定個人資料範圍的過程,就是一種個資盤點,而這個盤點過程包含紙本和電子資料在內。」

臺灣BSI總經理蒲樹盛表示,從資料的生命周期來看個資盤點是最適當的方式之一,藉由重新審視公司每一個部門,到底擁有哪些資料,這些資料中又包含多少個人資訊在內。他說,在確認每個部門擁有哪些個資的清單資料後,公司就要產生一份「個資清冊」,這個清冊就記載著這些企業內所擁有的個資,都由誰經手包括蒐集、處理、利用、國際傳輸及刪除的流程。

蒲樹盛強調,當這份個資清冊出爐後,企業就應該據此重新檢視各個部門相關的個資保護措施,以及相關的個資保護意識是否足夠。若是發現個資含量較高的部門,其相關個資保護措施或意識不足時,就應該立即提供各種強化措施以補個資防護不足之處。


個資盤點耗時數個月到半年不等

個資盤點需要多少時間,其實沒有標準答案,因為每一間企業規模、業務複雜程度以及個資含量多寡都有不同,很難有一個標準答案。但是,萬幼筠認為,個資盤點再怎樣都不應該超過半年,以勤業眾信輔導過的某金控公司為例,全部相關企業盤點完成都不超過6個月。他說,時間若超過半年,顯見其個資盤點的方法論是有問題的。

例如,精誠資訊導入BS 10012來因應新版個資法時,精誠資訊資料管理整合服務事業部資訊安全處資深技術處長林柑妙表示,個資盤點是所有執行BS 10012個資保護管理制度中,耗時最久的環節,光是個資盤點就用了4個月。

精誠在這4個月中定義出8大關鍵業務流程,包括需求接單、文件製稿、開發設計、資料轉檔、物料需求、入出庫管理、檔案列印和機器成品裝封等,之後就得依照個資法規定的個資蒐集、處理、利用和國際傳輸等過程,追蹤公司內的個資如何流經每一個部門。

再根據企業內個資所流經的業務流程,依照每個部門中的每個人,對於每一個流經該業務流程的個人資料,註明是屬於個資蒐集、處理、利用和國際傳輸等個資生命周期的哪一個環節,並載明這個個資來源、蒐集管道、檔案形式,和最終會以何種方式存放在企業內,以及是否有進行國際傳輸等,全都記載到一份個資清冊上。

臺灣勤業眾信(Deloitte)企業風險管理部協理曾韵也根據實際輔導客戶的經驗,以一個具有完整消金、法金和信用卡部門的商業銀行進行個資盤點為例,從繪製數十張到數百張個資流經各業務流程的BIF(業務流程框架)Visio流程圖,到產生一份個資清冊為止,沒有自動化工具協助,至少要2~3個月的時間;如果有自動化工具可協助產生個資清冊,個資盤點的時間至少要1~2個月。

以此時程,對比個資法施行的時程,企業所剩時間不多,現在正是開始動作盤點個資的最後衝刺期。

個資法最新進度 
預估施行時間
法務部仍依照先前政委擬建議今年10月1日的施行日期,進行後續進度。

個資法現況
已經將個資法施行細則草案,送交行政院準備進行審查。

個資法細則草案重點 
1.拿掉細則草案第5條的「軌跡資料」(Log Files)字眼,軌跡資料不再納入個資法規範的資料項目。
2.移除細則草案第3條中「但查詢困難、需耗費過鉅或耗時過久始能特定者,不在此限。」的字眼,這部分未來將交由法官判定。
3.將個資法母法第6條、第8條第2款第1項何謂法律明訂,在細則中則新增「法律、法律具體授權的法規命令」等解釋,讓各公務機關有更清楚的法律授權依據。

轉載自《iThome》