2012年11月28日 星期三

個資法施行後對組織之衝擊與因應


個資法施行後對組織之衝擊與因應

無論達官顯要、工商領袖抑或尋常百姓,所有人的納稅資料,都為財政部財稅資料中心所彙集保管,這些資訊如此重要珍貴,可以想見,新版個資法對於該中心所帶來的衝擊與挑戰,肯定比任何企業都來得大。

財政部財稅資料中心主任蘇俊榮指出,所以該中心早在一年半年以前,便因應個資保護議題展開相關建置作業;在此過程中,他獲得一個頗值得分享的心得,所謂個人資料保護,應是企業或組織全員皆須面對的課題,上至最高階主管,下至司機、工友或清潔人員,所有人都無法置身事外,因此若將所有負擔押注在IT或技術部門身上,未免太過沈重,也絕非理想的做法。


財政部財稅資料中心主任 蘇俊榮

日本前車之鑑 值得台灣企業重視

較早施行個資法的日本,其一路走來的前車之鑑,絕對值得台灣企業引為借鏡。

檢視日本個資洩漏來源,電子資料佔有48.7%比重,而紙本也佔了43.8%,兩者可說不相上下,反觀現今台灣企業,似乎只對電子資料保護著力至深,卻忽略了文件紙本這些足以洩漏個資的禍患,顯見企業在積極部署IT解決方案之餘,亦應重視流程管理,才能面面俱到。蘇俊榮表示,由此更印證了個資防護、人人有責的真理,因為紙本型式的洩密事件,單憑IT部門一己之力,絕對難以杜絕,更無法全然規避風險。

此外,日本個資求償事件,係於個資法實施後的2~3年達到高峰,由此推論,民國103年恐成台灣個資損害求償的高峰期。

根據一份來自媒體的調查報告顯示,台灣公民營組織於因應個資法施行上,最大的困難點為「缺乏可遵循的規範或做法」,此乃由於大家皆是首次面對這項問題,自然沒有太多參考依據;對此蘇俊榮建議,不妨可先行參考政府相關規範(例如BSI10012),而諸如金融或保險等面臨相對巨大挑戰的業者,可考慮引進第三方顧問予以輔導,但輔導目的並不在於通過認證,而應致力將個資保護的精髓,內化到實際作業流程之中。

檢視企業個資管理衝擊 尋求破解之道

當然,因應個資法的挑戰,理應不僅「缺乏可遵循的規範或做法」,尚有其他困難點。例如「數位證據紀錄、保存與鑑識不易」,蘇俊榮提醒企業,千萬不要以為由電腦硬碟所儲存的資料或日誌檔,一旦日後遭遇個資訴訟,都可成為有效的呈堂證供,並獲得法官的採信,因為倘若無法100%驗證其絕對未經竄改,這些資料或日誌檔的證據效力,仍然令人存疑,因此有必要借助其他工具,藉以確保這些記錄的不可否認性。

其餘較為顯著的困難點,還包括「稽核難以全面落實」、「個資散落難以完全盤點」。有關前者,蘇俊榮建議可先朝向風險最高的部分著手,進行重點式的稽核;至於後者,他則提醒企業莫要僅盤點駐足在資料庫、檔案系統或其他電腦主機的電子資料,包括非電子型式的紙張或文件,亦須納入盤點範圍,所以其耗時費工的程度,絕對比企業想像得巨大,因此他再度重申不要只想由IT部門一肩扛起這些責任,不管是財務、人事等其他單位,大家都要抱持憂患意識,必須共同參與個資盤點之艱鉅任務。

另外,蘇俊榮設想了一些情境,不管是公營或民營組織,未來都有可能面對,其間包括了客戶所反應的「我想刪除我的會員資料與交易記錄。」、「我想查我老公的資料?」、「為什麼我加入會員後過幾天一直接到詐騙電話?你們可有好好保管資料?」、「我想加入會員,但不想填身分證字號。」這些情境看似稀鬆平常,但裡頭的任何一項,都可能對企業作業面產生重大衝擊!

總結這些衝擊包括:行銷過程的客戶資料之來源違法性,對外行銷與客戶紙本/電子資料之存取控制,客服過程對於客戶隱私之尊重與個資相關權益之保障,確保金流處理過程中、金流資訊之正確性與機密性,內部客戶資料相關資訊系統之良好技術控制、與良善管理責任之舉證,行銷單位對客戶資料之合理應用、與交叉行銷活動之合法性,對於協同作業或委外廠商於個資委外管理之責任展現,紙本與數位資料使用軌跡記錄之管理及保存方法,各行政單位對於內部大批員工之隱私保護、與個資管理工作之落實。

面對上述衝擊,蘇俊榮認為企業可先訂定個資管理的層次與目標,接著擬定完整的個資安全維護計畫,再者則展開推動步驟,包括建立個資管理組織、尋找法律授權依據、加強資料交換防護(涵蓋分享資料之分級標示、敏感性資訊去識別化、設置當事人權益主張申訴窗口、安全維護與舉證 責任)、降低網頁個資外洩的風險,以及Plan-Do-Check-Act的個資管理循環。

轉載自《DIGITIMES中文網》

沒有留言:

張貼留言