2012年9月5日 星期三

因應個資規定 適法性最要緊

透過認證標章減輕法律風險
因應個資規定 適法性最要緊

即使修正後的新版個人資料保護法施行細則草案還在行政院審查階段,原定今年10月1日正式施行的規劃仍然不變。不論目前選擇的是保持觀望態度,等待施行後發生第一個訴訟判例再決定因應方式;或是正在積極推動因應條文規範的各項調整作業,勢在必行的個資法,將無可避免對企業帶來衝擊與影響。

面對艱澀難懂的法律條文,到底既有的IT作業流程是否得以因應法律規範?可能觸法受罰的風險有多高?若非具備法律背景或業界專家,相信難以有具體的描述,更何況因應法規需要做的改變措施。如今市場上因個資法上路而生的認證標章,或許可以成為企業內部發展資訊安全管理機制的參考方向。

TPIPAS:個人資料保護的基礎建設


▲資策會科技法律研究所主任邱映曦建議,企業須落實法規盤點,可清楚明白除了新版個資法規範外,還必須融合哪些目的事業主管機關訂定的特別法,再依此做管理制度上的調整。

早在個資法施行細則草案公佈前,經濟部商業司就已委託資策會科技法律研究所進行國內個人資料保護與管理制度規範(Taiwan Personal Information Protection and Administration System,TPIPAS),並於審核通過後授予資料隱私保護標章(Data Privacy Protection Mark,DP Mark)。資策會科技法律研究所主任邱映曦表示,TPIPAS的功能中其實已經把新版個資法內化成為標準制度,可提供企業依此發展資料保護管理策略,自去年(2011)就已開始推動,並在當年年底選定10家電子商務相關企業試辦,實際輔導上線,從一開始說明何謂TPIPAS,擬定導入計畫到實施,預計今年年底前即可開始發放驗證標章。

「初期推動是以電子商務產業為主,但這並不表示TPIPAS僅是專為電子商務而設立,」她解釋,因為當時市場上並沒有個人資料保護法的標準與標章,就連來自英國的標準BS10012都還沒設立,而歐盟方面也只有德國少數地區有推動標章。但日本不僅已有P-Mark制度,是由日本情報處理開發協會負責,且實務上已有超過上萬家廠商取得此一認證,因此成為TPIPAS主要的參考依據。

而電子商務只是TPIPAS試辦的對象,因為制度層面是以新版個資法的管理邏輯為核心,而非電子商務產業,因此這是各行業建立最基本的管理制度皆可參考的範本,甚至可依據產業特性再往上發展,例如電信、金融、醫療、保險等,皆擁有許多該產業特有的法規,以及在個人資料保護方面特有的要求,「因此TPIPAS可說是個人資料保護的基礎建設,供各行業各自延伸不同發展。」邱映曦說。

TSP:以法律思維建置資訊作業流程 


▲達文西個資暨高科技法律事務所主持律師葉奇鑫認為,因應個資法可先從重點業務項目著手,仔細地拆解作業流程,必定會發現有些環節是現在不解決就會觸法,就非得先做不可。

今年初,由達文西個資暨高科技法律事務所主持律師葉奇鑫引進台灣的個人資料保護驗證(Trusted Site Privacy,TSP),同樣是針對個資法而來。他說明,當初引進的初衷,主因是自家經營的飛翔駱駝電子商城必須因應個資法規,但過程中發現實務上並不容易,由於又沒有前例可參考,只能摸索因應之道。

「個資法大致上可分為3個面向,內部管理、防駭技術,以及法律。即使沒有內、外賊,一旦取得個資的方式不符合法律規範,也還是會觸法,因此重點即在於蒐集、處理、利用過程一定要合法。」葉奇鑫說,但當時評估國內市場上的資訊安全管理制度後發現,共通點都是法律層面仍不充足,偏管理面居多,雖然是依據個資法規範的安全注意事項來執行,但實務上卻流於大量文件的撰寫而已。

擁有資訊技術與法律背景跨領域背景的葉奇鑫認為,隱私權或個人資料保護規範標準要求最高的其實在歐盟,才會開始接觸德國驗證公司TUViT,帶入TSP標章,並且把原本依據德國法律制定的TSP,再依國內個資法的構成要件加以修改。

高強度隱私保護:客製化個資控管制度


▲微軟亞太區全球技術支援中心專案經理林宏嘉觀察到,國內資訊安全管理發展至今,許多公司或多或少已具備某些程度的管理機制,如今面臨到個資法上路議題,有時只需要在制度面作些調整即可因應。

日前微軟也宣佈偕同台灣檢驗科技(SGS),提供專為個資法設計的「高強度隱私保護驗證」服務,其中包括隱私保護技術輔導、隱私風險鑑識以及專業驗證。微軟亞太區全球技術支援中心專案經理林宏嘉表示,一般而言,只要談到特定標章,即代表背後有單一標準規範,但微軟強調的是「高強度隱私保護」,該服務的方法論其實很複雜,並不是連結到一套固定標準模式,而是依據不同企業的營運環境需要,設計出最佳化資訊安全規範,使其能符合個資法的要求。

他補充提到,雖然微軟是解決方案提供者,但對於個資法只會提供純服務性質的顧問工作,不會搭配自家產品一起談,因為個資法本質上就不是單純採用工具可以解決。SGS產品經理何星翰也說明,標章驗證通常都不會對特定產品背書,更何況個資法是個法律議題,並非可有可無的管理制度,必須是可協助訴訟方面的規範,由這個角度切入設計整體性的管理制度,才能夠貼近企業真正需求。

個資法不僅是IT 更該是全公司的議題

既然個資法是一種法律制度,就不能只用傳統IT的思維來看待,可是林宏嘉觀察到,在台灣有個很普遍的現象,企業一談到個資法,大多都是由資訊部門在負責,事實上,個資法應該是全公司的事情,「法律不是用來保護好人,而是用來保護懂法律的人。」林宏嘉強調。


▲SGS產品經理何星翰表示,高強度隱私保護驗證在導入過程中會有不同的機制與手法來達到管理目的,所以稽核上也要參考到多個管理規範,來驗證導入的有效性。

何星翰認為只要有涉及到個資的蒐集、處理、利用,都應該被納入管理,但目前有許多已取得國際認證的單位是由ISMS(Information Security Management System)再延伸連結到個資管理,還是以為把IT系統流程處理好後,其他單位配合辦理就行了,但是如此一來往往就顯得頭重腳輕,無法全面涵蓋。

同樣的,葉奇鑫亦認同個資法應該是全公司上下的事情,然而就他所接觸的企業現況,個資法議題有八成是交由資訊部門來主導,但即使是已導入國際認證規範的IT單位,心中還是會有疑問:「這樣做就合法了嗎?」

「其實,認證標章說穿了就是要有能力在事前與事後都能掌控未知的訴訟案件,但『違法』比『個資有漏洞』還要嚴重!」葉奇鑫強調,現在的網站常見提供Facebook帳號登入,就會從中取得一些個資,這就已符合「蒐集」的範疇;之後為了確認身分寄發E-mail認證信函,則是「利用」。至於後續資料儲存的格式、系統、媒體等等,在ISO27001就有許多規範足以因應。但就前述的蒐集動作來看,若根據個資法的條款,只要有蒐集動作卻沒有告知,即屬於違法。 

一般而言,電子商務平台新會員一開始在加入時,必定要有會員條款或會員合約。而葉奇鑫在初創飛翔駱駝時,會員合約是由專業律師所撰寫,直到為了審查既有的合約內容是否包含個資法規定要告知的6個事項,於是把網站會員合約內容加以拆解,才發現只有3項符合規定。「就連當初委託律師擬定的合約都不足以符合個資法,不免讓人擔心,是否有更多細節會有觸法的疑慮。」葉奇鑫說。 

擁有認證標章不等於無過失 

在個資法規下,企業若導入認證標章,是否就足以代表不會觸法或無過失?邱映曦認為不盡然,但的確會有些關聯性。理論上,認證標章真正的意義在於背後的管理制度,標章只是協助識別而已。而新版個資法中所謂的「善良保管人」,即會參考所實施的管理制度與流程,來判別是否有盡保管責任。此時標章或許可做為「雖已善盡保管之責、但仍不免發生狀況」的證明。但必須強調的是,沒有一種制度或認證標章可以達到「免責」,即使包括日本已取得P-Mark的企業,其意義是已符合相當嚴謹的國家級JIS Q 15001工業標準,都無法得以規避該有的責任。 

她進一步提到,主要的狀況是所有的管理制度都是協助管理,把制度健全化,執行這些管理流程計畫,的確可代表做到一定程度的保管義務,然而最難的地方,即在於流程中遇到部分環節沒有被落實,這些都是潛在的風險。在法院的判定上,會去多方了解企業的作為有沒有符合法律、符合國內相關主管機關的要求,取得認證標章,至少可以證明的確是有下功夫做管理。 

「雖然全世界沒有一種認證機制可以保證不會被告,但不能因此什麼都不做,」林宏嘉強調,認證應視為是一種基本條件,不論執行程度的多寡,至少存在一套管理機制。企業最擔心未來會遇到訴訟案件,這是無法模擬與推估的,只能盡可能呈現良善管理作為,此時協助識別的標章就可顯現出其重要性了。 

從重點業務開始審查適法性 

雖然目前國內可導入的認證標章各有不同的推動單位及訴求,但其實在多數情況下皆可成為互補關係,同時並存。葉奇鑫以TSP為例說明,TSP主要是以資料為追蹤標的,查檢項目高達4百項,依照目前累積的經驗,已通過ISO27001的單位能夠再經過TSP查檢通過者,只有36%。他認為其實有此結果並不意外,因為像是ISO27001或是BS10012規範,均較偏重在ISMS,強調管理制度但缺乏法律要件,而TSP的設計可說是依據法律規範制定後,再加上ISMS一定會審查的項目,兩者搭配結合,既有適法性也達到管理目的。 

「我覺得這就是要對症下藥的地方,並沒有說哪一種認證有絕對的好與不好,每個單位的性質不同,若是業務性質的單位,法律問題就會很多;但若是跟外界接觸較少的單位,所需要的個資法安全強度可能就低一些,因此還是得依照不同單位需求而定。」葉奇鑫說,因此從重點業務項目先切入,確保過程中每個動作都具合法性,如此一來才有真正的效益,至於其他部分以階段性逐步完成即可。

轉載自《網管人》

沒有留言:

張貼留言