個人資料保護法在去年4月通過後,引起各界一陣嘩然。高達新台幣二億元的賠償上限,讓許多企業不得不開始關注這部法案,並重視資訊安全。儘管母法已經制定,然而企業究竟該如何遵循?該優先採取哪些因應措施?這一連串的問號,又讓許多企業停了下來,「先等施行細則公佈在說」他們說。
針對個資法最新現況,法務部法律事務司科長黃荷婷,在上週於台北國際資安展舉辦的「個資法、政府資安、隱私標章、數位鑑識 聯合座談會」中表示,法務部計畫於6月底將施行細則草案送交行政院,預計在今年11月25日完成。(註)
目前個資法施行細則修正重點包含1.兼顧個資保護與合理利用;2.明訂委託人對受託人適當的監督;3.界定醫療、基因、健康檢查的概念定義;4.界定當事人自行公開的定義;5.告知方式;6.適當安全維護措施定義。(詳細內容請見第75期資安人雜誌)其中,最受資安從業人員關注的包括何謂適當安全維護措施。
黃荷婷指出,在施行細則將規定非公務機關的善良管理人注意義務,以及明訂安全維護事項,總計12項,包括1.必要的組織;2.界定個人資料範圍;3.個人資料蒐集、處理或利用的程序;4.當事人行使權利的處理程序;5.資料安全;6.資料稽核;7.人員管理及教育訓練;8.設備管理;9.紀錄與證據之保存;10.緊急應變措施及通報;11.改善建議措施;12.其他安全維護事項。上述12項是法務部制定的施行細則內容方向,而後各中央目的事業主管機關,也可據此往下訂出個人資料檔案安全維護計畫的法規命令,預計完成時程也是今年11月25日。
以經濟部商業司來說,將針對電子商務業者推出個人資料保護與管理制度(TPIPAS),企業導入並通過驗證後將核發個人隱私保護標章(DP Mark)。經濟部商業司科長陳威達表示,取得此標章的企業意味其個資保護措施不僅符合,更超過個資法的規範要求。
精誠資訊資安顧問林文腕指出,從這12項安全維護事項可以看出,只要企業當初在建置資訊安全管理系統(ISMS),有涵蓋到個人資料的系統範圍,許多項目就不需從頭來過。與ISMS相比,此安全維護事項直接要求界定個資範圍,因為有個資存放的設備就是高風險區域,所以對中小企業來說,要符合法規比較不會有太高的入門門檻。
(註):施行細則草案在法務部送交行政院後,行政院將視情況召開會議決定爭議處,而後才公告施行細則正式版本,並同時公布法案正式施行日期。11月25日為法務部送交施行細則草案至行政院的預定時程,非施行細則公告日期。