2012年11月2日 星期五

忽視個資法 IT主管恐掉飯碗

忽視個資法 IT主管恐掉飯碗

曾任資策會科法中心主任,目前則為高雄第一科大個人資料保護中心主任的周天,針對個資法一些可能被忽視的細節,若發生問題極有可能讓IT管理者陷入職涯困境的狀況,做出提醒。

Q1: 大家都知道個資法重要,企業若觸犯個資法,最令人擔心的是什麼?
A1: 個資法規定,非公務機關(企業或個人,以下簡稱企業)之代表人、管理人或其他有代表權之人,對於該非公務機關,本有指揮監督之責,當違反規定受罰鍰處罰時,上述之人應受同一金額罰鍰之處罰,但上述之人如能證明已盡其防止之義務,例如曾確實指揮監督該企業採行適當之個資安全維護措施,方可免罰。

違反個資法 公司跟老闆都會被罰

也就是這個原因,當發生問題時,除了公司收到罰單外,連同董事長、總經理也都會收到同樣罰款金額的罰單。雖然罰款金額僅有二萬到廿萬元,但是試想想,由於自己作業上的疏忽,卻讓自己的主管個人收到罰單,這不是一件令人擔憂的事嗎?

個資損害賠償可達二億元

此外,針對損害賠償部分,違法侵害個資的單一事件,便可能有眾多被害人或造成重大損害,為促進國人重視個人資料檔案之安全維護措施,並使被害人能獲得較高金額之損害賠償,因而將損害賠償總額之上限,提高為新臺幣二億元,如其違法所涉利益超過新臺幣二億元者,則以該所涉利益為損害賠償金額的上限。

團體訴訟容易 廿人即可

再者,個資法大幅降低團體訴訟的門檻。個資遭受違法侵害,受害人往往因為欠缺法律專業知識或訴訟實務經驗,沒有能力個別尋求司法救濟。為結合民間力量,落實保護個人資料,新法增定團體訴訟之規定,對於同一原因事實,造成多數當事人權利受侵害之事件,符合規定的財團法人或公益社團法人,經受有損害之當事人二十人以上,以書面授與訴訟實施權者,該團體得以自己之名義,為全體受害人之利益,提起損害賠償訴訟。

Q2: 對於企業,面對個資法,您建議的因應之道?
A2: 民間企業,不論其行業類別,只要有蒐集、處理、利用或國際傳輸個人資料的行為,不論是員工、客戶或協力廠商所提供的個資,都要一體適用個資法的相關規定。

個資告知的六大必要項目

在「蒐集」個人資料時,不論是直接向當事人蒐集個資,或經由第三人間接蒐集當事人個資,蒐集者必須向當事人履行告知義務,告知的內容應包括下例事項:
1.非公務機關名稱。
2.蒐集之目的。
3.個人資料之類別。
4.個人資料利用之期間、地區、對象及方式。
5.當事人得行使之權利及方式。
6.當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
在「處理」個人資料時,例如為建立或利用個人資料檔案,所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送,應與當初蒐集個人資料的特定目的相符,並且經當事人書面同意,或符合其他個資法所規定之情形。
在「利用」個人資料時,例如銀行將存款客戶的個人資料,提供給其他企業,除了個資法規定的例外情形外,應於當初蒐集個資的特定目的之必要範圍內,始可利用該個人資料。在「國際傳輸」個人資料時,例如台灣母公司將員工個人資料,傳輸給國外子公司,做跨國(境)之處理或利用,由於兩國間個人資料的保護的水平不一,中央目的事業主管機關,得限制企業進行個人資料的國際傳輸。

善盡良善保管責任的11項工作

同時,企業為防止所蒐集的個人資料被竊取、洩漏、竄改、毀損或滅失,應採行技術上與組織上之必要措施。上述必要措施,所支出之費用與所欲達成之個資保護目的,應符合適當比例,例如企業蒐集個資的數量愈多,所需支出的維安成本,即應相對提高
個資安全維護措施,係根據規劃、執行、稽核、改善等流程步驟依序完成,包括下列事項:
1.成立企業內部個資安全管理組織,配置相當資源,
2.界定個人資料之範圍,進行個資清查,完成個資清冊,
3.進行個資之風險評估及建立可靠的管理機制,
4.個資事故之預防、通報及應變機制,個資安全事件的模擬應變演練,
5.建立個資蒐集、處理及利用之內部管理程序(SOP),
6.個資安全管理及人員管理,
7.一般人員的認知宣導及個資業務人員的教育訓練,
8.設備安全管理,
9.個資安全稽核機制,
10.個資使用記錄、軌跡資料及證據之保存,
11.個資安全維護之整體持續改善。
國內一般資安認證,如 ISO 27001,便是很值得企業去努力取得的。在個資認證上,目前主要的國際個資安全驗證標準,例如聯合國標準組織的ISO29100、歐盟的Euro Privacy Seal、英國的BS10012、日本的JIS Q 15001、Privacy Mark等。透過上述個資安全驗證標準,協助公務機關或民間企業,建立內部的個資安全管理制度,也唯有透過個資管理制度化,才能確保個人資料的安全性。

Q3: 對於過去收集的個資,企業應如何處理與因應?
A3: 對於個資法施行前,已經蒐集的個人資料,如係經由第三人間接蒐集之個資,雖非違法,惟因當事人對其個資被蒐集之情形,並不知情,蒐集者若不補行告知當事人,而仍繼續處理或利用該個資,將會損害當事人權益,故自施行日起,一年內應完成補行告知當事人之義務,逾期未告知,蒐集者仍繼續處理或利用該個資者,將以違反個資法論處,期能兼顧當事人與個資蒐集者雙方之權益。

提供個資當事人行使之權利要投入

個資法規定,當事人擁有行使之權利,包括:
(1)查詢或請求閱覽。
(2)請求製給複製本。
(3)請求補充或更正。
(4)請求停止蒐集、處理或利用。
(5)請求刪除。
這是一個新的功能,原本沒有或僅是內部使用的功能,但是未來卻是必須提供當事人可以使用或者作業的。
有鑑於此,加購相關的資訊服務,應該可以開始布局,以免觸法而不知。

轉載自《CIO企業經理人》