2012年11月19日 星期一

搞定個資法不難,重點在「安管措施」!


搞定個資法不難,重點在「安管措施」!

陳明堂(法務部次長)講了,今年10月1日個人資料保護法正式施行,除了要對全部政府機關及民間組織一體適用之外,同時還不給任何的寬限期,因為這已經是二年多前通過的法律;通過之後遲遲不施行,已經等同有寬限期了。

話這樣講是沒錯,但我們的客戶可就一個比一個緊張了:「到底我們該做什麼」?其中有國際連鎖健身業者,保管在系統裡的個資(包括現在有效的會員,以及舊會員)近百萬筆;也有大型的連鎖健保藥局,個資幾十萬筆不說,個資的內容還包括客戶的病歷與藥歷!

新法施行,總為企業帶來一堆新限制,也催生了新商機。有很多IT業者見獵心喜,忍不住就結合了搞ISO 27001(這是國際標準化組織在2005年所公布之ISMS - 資訊安全管理系統 – 的標準)、BS10012:2009 PIMS之類認證的顧問公司,加上一堆軟硬體弄系統整合、幫企業打造客製化的解決方案,東整西整,隨便開價就得花幾百萬。

我沒罵這些人沒良心想發國難財、我也沒說這些全是唬攏企業的噱頭。然而,作為深耕內控十餘年的商務律師(本所從1999年就開始研究內部控制制度和法令遵循計畫,目前在這個領域所發表論文之數量在兩岸律師界排名第一),我不禁懷疑,個資法對於企業經營者而言,其核心義務也不過就是訂定並執行「適當的安全維護措施」(第6條、第27條、第48條),哪需要像這些業者講得這麼複雜?

我們預計,政府很快就會開始要求各民間組織包括營利及非營利事業在內,針對其所保管之個人資料,訂定安全維護計畫。如果不訂,會被限期改善,還會被連續科處$20,000到$200,000的罰鍰。其實,就算沒有這樣的罰則,對企業而言,也還是非訂不可。原因很簡單:

個資法第29條第1項規定,如果企業「違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任」。賠多少?這兒才是真正嚇人的部分。關於個資侵權案件,每人都能就其個資呈請法官在$500到$20,000的範圍內核定損害額。單一個案,最高還能判賠到兩億!再加上,個資法還允許,受害的個人,可以在嗜血又暗抽高額後酬的協會或基金會組織的號召下,對企業打團體訴訟,這種團體訴訟在法院的戰力,絕不輸給一般的中小企業,處理起來的確格外棘手。

近年來,不論是電視購物、網路商店、線上賣家…洩露個資的意外始終層出不窮,有的公司還不只發生一次。如果依這樣的新法處理,有多少家公司捱得起上面這種賠償金?

而萬幸的是,個資法也作了例外規定,如果能證明對於個資的外流或盜用,自己並無故意或過失的話,就「可以免賠」(第29條第1項但書);也就是說,倘若公司有對所保管的個資作好安全維護措施的話,就能在訴訟上,對法官主張「我真的已經盡力了…恭請恩准免死…」。

由此可見,萬一遲遲不為公司裡的個資(可千萬別以為個資只有搞網路的公司才有。所有公司裡的人事資料、薪資報表、員工通訊錄…全是個資,沒有一家公司跑得掉)設計並執行一套適當的安全維護措施,還真有可能陷於萬劫不復。本文先點出個資法之核心重點,下次將繼續說明,到底該怎樣設計執行,才能過得了政府這一關,並且在遇到事情時拿出來當成免死金牌。

轉載自《COUNSEL GROUP》

沒有留言:

張貼留言