大選剛結束,新內閣對個資法的高度關注,促使法務部將上路目標訂在2012年7月1日,其中窒礙難行的部份則考量以加強宣導、修法或暫緩執行等策略,如此明確的時間表,讓原本漸趨於平靜的討論聲浪,又再度熱烈起來,企業不再將「因應個資法」當作口號,而是認真思考該做哪些事,部份金融業還公開招標表示要導入個資法相關的管理制度。
然而,從這些已經啟動因應個資法專案的企業或組織來看,很多是由IT人員擔任主導者,或許是因為個資法立法精神在於做好個資保護、維護資料安全,使得企業容易將個資保護與IT畫上等號,卻忽略法規遵循不單只是資安問題。
不過,金融業是少數的例外。在一場銀行同業的內部會議中,與會11家銀行皆表示,個資因應計劃主導者不是IT部門,而是法務、業務、策略、風管…等單位,原因在於2011年接連爆出紙本資料外洩的新聞事件,加上銀行內部已先舉辦個資法相關的教育訓練,使得高層主管認知到「個資保護不僅僅是IT責任」,才會交由IT以外的單位負責。
益思科技法律事務所律師蕭家捷表示,資安工作沒有做好,固然可能導致個人資料有不當利用、外洩或遭竊等情事,但就算落實資訊安全工作,也不代表已經遵守個人資料保護法的規範,如果企業在個資搜集、處理與利用階段,沒有遵循新法內的程序性規範,一樣有違法風險。
舉例來說,某企業擬聘雇保全人員,並要求應徵者提供良民證及健康檢查報告,這樣的行為屬於蒐集特種個人資料,必須遵守個資法裡的程序性規範,也就是不能蒐集,但卻與資訊安全無關,不管企業採購再多、再好的資安設備,也無法解決個人資料保護法遵循的問題。
香港個人資料私隱專員公署(以下簡稱PCPD)自1997年至2011年共出版了23份調查報告(表1),用以說明自身所接獲民眾投訴企業侵犯個資案件的調查狀況,其中投訴比例最高的原因,是企業沒有取得當事人同意,就將個資做為蒐集目的外的利用(如:提供給第三方機構做行銷),或因內部作業流程失誤,未依照個資當事人的請求刪除個資。
表1、香港民眾投訴企業侵犯個資的原因
|
投訴原因
|
家數
|
|
在沒有取得當事人同意下,將個資用於搜集目地以外的用途,或提供給第三方機構
|
10
|
|
未依照當事人請求查閱、更正或刪除個資,或要求當事人必須付費才能行使請求權
|
4
|
|
蒐集過多個人資料
|
3
|
|
以針孔攝影機不當搜集個資
|
2
|
|
個人資料外洩事件
|
2
|
|
個資保留期間太長未適時刪除
|
1
|
|
沒有確保個資正確性,以致當事人權益受損
|
1
|
資料來源:香港個人資料私隱專員公署調查報告,《資安人》整理,2012/2
由香港經驗來看,個資法裡的程序性規範顯然容易被企業忽略,因此,比較理想的作法是由法務人員主導,先協助落實個資法中各種程序性規定,再由IT人員針對個資安全維護提供專業建議,透過法務與IT協助合作,才能提高企業法規遵循程度。
......《未完》