2012年11月5日 星期一

個資法產業準備度調查:企業因應措施或多或少 但缺乏完整規劃

個資法產業準備度調查:企業因應措施或多或少 但缺乏完整規劃


新版個資法正式上路雖然才短短1個月時間,但是從公告至今卻已長達2年以上,在這段期間內,企業因應個資法的準備究竟做了多少?日前KPMG台灣所發表「個人資料保護法現況調查報告」,以問卷調查結合祕密客匿名探訪的方式,調查產業因應個資法之成效。

1.遵循法規的因應機制
KPMG定義出法規遵循的5個步驟,第一步就是界定個資範圍,接下來依續是風險評估、建立個資的蒐集/處理/利用之內部管理程序、當事人權利行使作業程序、事故通報及應變機制。

根據調查結果統計,這5項的執行比例皆不超過20%,若從產業別來看,金融、電信業已執行的比例較高,零售、醫療、教育產業做得比較少,若將零售業進一步區分成無店面與實體通路,則無店面零售業的因應成熟度又高於實體通路,KPGM推測原因有二點:(1)無店面零售業的市場反應速度本來就比較快;(2)主管機關近2年來有計劃地在推動資安,提昇整體產業的重視度。

安侯企業管理股份有限公司執行副總張允洸表示,企業在因應個資法時,不一定會按照上述的順序來進行,有些企業雖然沒有進行個資盤點,卻已經採購解決方案或是建立個資管理程序,他認為這樣的做法不合邏輯,企業必須掌握自身所擁有的個資數量與風險,再投入資源進行防護,未來才能向法官證明所投入的資源為適當比例,倘若沒有系統性地規劃個資保護機制,而是想到什麼做什麼,日後又該如何證明為適當比例。

2.法律程序的完備度
針對個資法中的個資管理程序,KPMG選擇以祕密客訪查的方式,調查組織的因應現況,調查範圍涵蓋12個產業超過150個組織,包括無店面零售業、百貨公司及零售式量販業、金融業、公務機關、學校、醫院、人力銀行、旅行業、運動場館業、電信業、觀光旅館業、文理類補習班。

(1)個資蒐集是否逾越特定目的
過往企業在蒐集個資時總是愈多愈好,演變成過度蒐集個資的情況,像是會員申請表裡要求填寫學歷、行業、家中成員…等,這就不符合個資法「個資蒐集應符合特定目的」要求,根據KPMG祕密調查,有6個產業20%以上的組織過度蒐集個資,分別是運動場館、文理類補習班、百貨公司量販、金融業、學校、及醫療。

值得一提的是觀光旅館業個資蒐集100%與特定目的相符,沒有出現過度蒐集的狀況,張允洸推測這是因為該產業的會員申請表中,有很多項目都是選填的方式,可填也可不填,所以沒有逾越特定目的。

(2)告知內容的完整度
根據個資法要求,向當事人蒐集個人資料時,應明確告知當事人法律規範之特定事項,然而,組織實際上在執行告知義務時,仍未完整告知法律規範的項目,其中,不提供個資對當事人權益的影響、當事人可以行使的權利與方式、個資利用地區與期間、個資類別這5項,只有不到10%的企業有盡到告知義務,顯見企業告知內容的完整度有待加強。

(3)查詢 / 閱覽 / 請求複製本的權利行使
多數產業均提供查詢或閱覽個資的權利,但是在請求給予複製本上,無店面零售業(75%)、運動場館業(50%)、百貨量販業(33%)有極高的比例未提供此服務,其中,有許多無店面零售業者認為,當事人可以自行上網查詢,所以不需要提供複製本。

(4)刪除 / 更正的權利行使
80%的組織有提供當事人更正個資的管道,但在刪除個資的權利行使上,6個產業超過30%以上的組織表示沒有此機制,或是不知道如何刪除個資,這6個產業分別是運動場館業(100%)、觀光旅館業(100%)、學校(100%)、人力銀行(60%)、公務機關(40%)、及無店面零售業(33%)。

(5)行銷宣告與拒絕行銷的處理程序
個資法20條賦予當事人有拒絕行銷的權利,但觀光旅館業與無店面零售業中,有部份業者完全沒有提供拒絕行銷的管道,其比例分別是20%、9%,另外,有些組織雖然提供相關機制卻沒有落實,在勾選拒絕收到行銷訊息後,仍持續收到行銷訊息,這也意味著企業個資保護因應機制只做了一半,雖然前端建立了程序,後端系統卻沒有同步變更,此機制豈不是形同虛設!

最後,張允洸建議企業應儘速成立組織、系統性地規劃因應作法、以及持續調整作業流程,因為對個資法與細則的詮釋、判例、主管機關要求…等未來將會陸續出現,惟有持續調整與改變,才能真正作好法規遵循。

轉載自《資安人科技網》