2012年11月7日 星期三

個資法施行細則放寬安全維護要求,不用11項全做


個資法施行細則放寬安全維護要求,不用11項全做

個資法從今年10月1日正式施行後,個資法施行細則也同步適用。不過,原本在施行細則草案中列為企業必做的11款安全維護措施,到了正式版的條文放寬了這項要求,修改為企業可視情況選擇性地執行需要的安全維護措施,而不用11項都做。

新版施行細則第12條第2項規定「前項措施,『得』包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則」,其中,法務部常務次長陳明堂說,草案版原是「應包括」,正式條文則修改為「得包括」,「得」包括意味著公務或非公務機關可以就下列11款安全維護措施,選擇適合該單位的作為,不強制全數11項安全維護措施都必須要執行

陳明堂進一步解釋,草案預告時匯集各界意見後,發現對規模較小的企業而言,若要完整執行上述11項安全維護措施,的確力有未逮。因此,在正式細則中,法務部決定放寬限制,讓企業在因應的作法上,可以更有彈性。「這是為了讓公務與非公務機關在因應個資法時可以更有彈性來選擇適合的做法。小公司可能只需選擇其中幾項來做,但大公司則可以做得比這11項安全維護措施還多。」他說。

達文西個資暨高科技法律事務所主持律師葉奇鑫表示,法務部放寬企業應該落實的11款安全維護措施,目的在於符合比例原則,畢竟,小公司資源不足,因應個資法能做的內容有限;但若是大公司應該要執行的安全維護措施,則不限於上述11款規定。

理律法律事務所合夥律師曾更瑩指出,個資法施行細則規定的11款安全維護措施已經像是企業因應個資法的「檢核表」,放寬成「得包括」後,其實就是讓企業因應時,可以更有彈性。

法務部也於10月1日正式對外公告了個資法的特定目的及個人資料類別,陳明堂表示,特定目的有182項,而個資類別有10大類共134項,這些是為了供公務和非公務機關在個資蒐集、處理和利用時,為了達成「符合特定目的內的利用」時的重要參考依據。他強調,這些特定目的和資料類別未來都是可以檢討修訂的,也建議公務或非公務機關在個資清冊上,可以羅列符合的特定目的和資料類別,確保個資蒐集、處理和利用的合法性。

此外,陳明堂說,個資法正式施行後,法務部也簽准成立一個「個資法研究諮詢小組」的任務編組,匯集學界和業界的專家,針對個資法適用時的法規疑慮進行研究和說明。至於眾所關心的中央目的事業主管機關,他表示,行政院正在核定中,預期近日將會對外公布。

轉載自《iThome》