2012年9月11日 星期二

技術不難 重點是管理程序 IT主導?不如讓法務率先

技術不難 重點是管理程序 IT主導?不如讓法務率先

最近兩起與個資法相關的新聞事件引人注意──「猜猜個人資料怎麼用?第一起保經遭罰案例」、「二手硬碟藏個資!落實銷毀程序以免外洩資料」乍看之下似乎是不同類型,但追根究底其實指向同一個問題:內部管理程序未落實。

在第一個案例中,保險經紀人將客戶個資提供給合作的壽險公司案例中,被忽略的是這些個資應當事先被規範清楚,在客戶同意的情形下才能去使用。而在二手硬碟含個資的案例,則點出企業原資料擁有者將個資檔案提供給外部合作夥伴後,合作廠商卻未善盡資料保護/銷毀工作。很顯然地,這些事件無法單靠防護技術來避免,而是需要一套完善的內部管理程序。

個資蒐集、處理及利用之內部管理程序,在個資法施行細則第九條制定安全維護措施中是重要的項目。建立起這樣的程序不簡單,包括律師事務所、管理顧問業者都有提供服務,或可善用經濟部為電子商務業者制定的TPIPAS個資管理制度。

管理制度,很明顯已經不只是IT或資安人員的執掌。日前聽說經濟部原本也是由資訊單位負責個資專案,但在幾次會議之後,經濟部長官一聲令下,因應法規應該由法務人員來負責制定框架,之後再讓相關單位各司其職。原來,其實個資專案在不同階段應該可以由不同單位負責主導,在籌備因應階段先讓法務人員制定框架,後續落實執行階段再讓業務人員主導,也是一種可行方式。從資訊、法務到總務人員,個資保護工作需要靠大家群策群力。

轉載自《資安人科技網》