2012年8月29日 星期三

個資因應小組的必要性

個資因應小組的必要性

隨著新版個資法施行時間在即,組織單位若要因應個資法,單打獨鬥效果不佳,若能先成立具有高階主管授權的個資因應小組,透過團隊合作的方式,可以加快因應的腳步

個資法施行時間進入倒數計時階段。個資法施行細則已完成條文內容的修正,進入行政院最後審查的法制作業。如無意外,行政院將按政務委員和法務部建議的施行時程,在今年10月1日施行。換句話說,對於還沒採取任何個資管理措施的企業而言,可能只剩不到2個月的時間可以因應。


達文西個資暨高科技法律事務所主持律師葉奇鑫表示,組織成立個資因應小組時一定要有高階主管充分授權,甚至就是高階主管帶頭,才能叫得動其他部門同仁做事。

達文西個資暨高科技法律事務所主持律師葉奇鑫建議這些企業,因應新版個資法可以做的第一件事情就是「成立個資因應小組」,成立專責單位後,就可以推動全公司的教育訓練來提升個資保護意識,然後再開始盤點個資。

在2011年10月27日公布的個人資料保護法施行細則修正草案中,第9條便規定了,如果公務機關或非公務機關為了防止個人資料被竊取、竄改、毀損、滅失或洩漏,就應該要採取技術上及組織上之必要措施。

細則草案版本中提到的適當安全維護措施總計有11項,第一項規定就是「成立管理組織,配置相當資源。」 

但根據了解,日前在行政院進行個資法施行細則的審查時,為了讓施行細則中的規定不會和個資法母法的規定矛盾。原本在施行細則草案中11項安全維護措施的第一項安全維護事項作了修正,改成「配置管理之專責人員及相當資源」,以符合母法第18條中的規定,「對於公務機關保有個人資料檔案者,應該指定專人辦理安全維護事項」

只有專人而無當責,無法落實安全維護事項

若以法規遵循的要求看,新版個資法細則不強加要求公務或非公務機關一定要成立個資因應小組,而改以專人管理取代之

葉奇鑫建議,企業要真正做到法律規定的「防止個人資料被竊取、竄改、毀損、滅失或洩漏」,單只靠專人的成效有限,若由這個專人來成立「個資因應小組」可以發揮到更好的管理效果。


臺灣勤業眾信執行副總經理萬幼筠指出,個資法細則雖然規定個資事項可委專人由負責,但這個專人無法完全承擔所有個資保護作為,仍須透過成立個資因應小組,來落實其餘安全維護措施。

臺灣勤業眾信執行副總經理萬幼筠也指出,雖然某一些組織單位只要能夠達到「設置專人」就可以做到符合法規規定,但組織規模只要稍大的公務或非公務機關,成立管理組織的目的不只是為了要達到安全維護事項的第一項規定,而是為了要能夠落實其餘十項規定。

新版個資法第二條中界定了個人資料範圍,要落實防範個人資料外洩,就必須要透過持續性的P、D、C、A方式,將誰應該在什麼時間做什麼事情,制定落實個資保護的標準作業程式(SOP)。「而這些工作,都不是單一的專人負責,就可以達成組織單位對個資保護的要求的,」萬幼筠說。

再者,法規上只要求「專人管理」即可,但不意味著所有個資保護之責也都由這名專人承擔,而公司負責人就可以規避掉個資法對相關人士的連帶處罰。萬幼筠認為,這樣的心態是大錯特錯,設置專人雖然提供比較大的彈性空間,但企業組織規模較大時,只有專人無法完全承擔所有個資保護作為時,勢必得透過成立個資因應小組的方式,凝聚成員共識,將個資保護的作為落實在每一個業務流程的範圍中。

更何況,組織單位若只是想鑽法律漏洞,透過設置專人管理的規定,將主管階層應該承擔的個資保護責任,全數指定委外給個資專人時,萬幼筠表示:「這樣的委任授權,並不符合組織單位主管『當責』的原則。」該名專人可能因為必須承擔過多風險而選擇主動離職,最後可以留下來擔任這個個資專人職務的人,一定是能夠做到符合組織單位對個資PDCA具有充分或適當授權的成員,「而這樣的成員,往往是公司的高階主管。」萬幼筠認為,當企業組織設置個資專人並且獲得充分且適當的授權後,這樣的個資管理方式才能符合企業治理的最高原則。


由高階主管帶頭擔任小組成員

葉奇鑫便坦言,許多組織單位面臨的共通困擾就是,許多的個人資料其實是分散在各個單位部門,假設,今天只有專人負責承辦個資保護相關事宜時,若沒有單位組織等一定層級以上的高階主管的充分授權,單只有透過指派專人負責個資保護事宜,在組織運作上,該名個資保護專人甚至很難叫得動其他平行部門的同仁。


臺灣BSI總經理蒲樹盛認為,目前各種國際標準或為了因應法規遵循,都贊成企業組織應該要成立具有管理實權且充分授權的管理組織,才是因應個資法和國際標準積極有效的配套措施。

有時必須要求其他部門主管也必須要遵守個資法相關規定,甚至還得調整許多作業流程。葉奇鑫表示,「企業若只是想透過設置個資保護專人,來實現個資保護的目的,其實是一種不切實際的想像。」

臺灣BSI總經理蒲樹盛表示,包括個資法或者其他國際標準,都十分強調,組織單位應該要成立一個具有管理實權並充分授權的管理組織,來因應各種國際標準甚至是法規遵循的要求。因此,即便行政院版的個資法施行細則,其中的安全維護措施仍維持設置個資管理的專人時,要真正做到所有個資因應作為都發揮一定的成效,成立管理組織仍然是比較積極、有效的配套措施。

金融業最積極設立個資因應小組

以目前各產業因應個資法的狀況來看,蒲樹盛認為,許多金融業和電信業者,因為充分意識到個資保護對其企業營運的重要性,至少有10家以上的銀行業者,早已經成立個資因應小組來面對新版個資法對企業帶來的衝擊;但醫療業和學校等產業,因應個資保護的腳步較慢後。

除了原本有因擁有大量個資而受到主管機關高度監管的行業外,有許多業務與個資息息相關的產業,對於設置個資因應小組都較為積極。

寒舍飯店管理集團總管理處協理張國領表示,因為飯店管理集團正在進行組織調整,預計在九月初,將由飯店管理集團的執行長,擔任跨飯店組成的個資因應小組召集人。臺灣優勢客服系統處經理李宗遠則表示,該公司重視ISO的作業流程,會將個資保護與既有的ISO流程做整合,並以符合ISO規定,由總經理擔任個資因應小組的發起人。

但是不少醫院則較晚才打算成立個資因應小組,中國醫藥大學附設醫院資訊室主任楊榮林表示,隨著個資法施行時間逼近,原本只是由各部門各司其職的作法,或許無法全面性盤點醫院整體個資因應概況,預計近期將由行政副院長的層級,成立跨部門的個資因應小組。

許多製造業在成立個資因應小組的進度也偏慢。某位傳統製造業資訊部協理表示,從以往Y2K一路下來的經驗,很多的規範都只是廠商用來銷售產品的機會,因為該公司擁有的個資以員工資料為主,預計將等到施行細則通過後,才會進行後續的成立個資因應小組事宜。某位紡織業資訊部經理則說,該公司目前也還沒有成立相關的個資因應小組,仍然是專注在各部門原本的工作職能上,但隨著個資法施行日期的逼近,也將會由副總層級的高階主管,成立個資因應小組。

不論哪一個產業,還沒開始因應個資法的企業,逐漸感受到個資法施行時程日益逼近的壓力,也紛紛展開動作了,而這個第一步就是成立個資因應小組。


轉載自《iThome》