結合訴訟與風險鑑識個資管理制度正夯

2012 / 05 / 14

廖珮君

新版個資法為企業帶來不小衝擊，為了做好個資保護，以及因應新法中的舉證需求，許多企業不約而同地選擇導入個資管理制度。看好這塊市場，日前，微軟與SGS合作推出高強度隱私保護驗證，由微軟負責導入服務，SGS負責稽核驗證，強調從訴訟、鑑識角度出發，與一般管理制度的出發點不同。

微軟全球技術支援中心亞太區總經理柯文達表示，高強度隱私保護驗證主要針對個資法及各國法規所設計，驗證方法論參考了多種國際標準規範，並從訴訟風險角度出發，從不同面向驗證企業可能面臨的個資外洩風險？倘若個資真的外洩，企業在面臨訴訟時，需要準備哪些證據？而舉證又能如何與資訊系統作結合，最後產出報告供企業參考。

SGS東亞區營運長暨台灣區總裁楊崑山則指出，目前該制度以個資的搜集、處理、利用完整流程為驗證範圍，驗證時間約莫6~8個月，但仍應視驗證範圍大小而不同，通過後，企業將可取得兩張證書：BS 10012及微軟高強度隱私保護符合性證明書，效期為3年，且每年必須接受稽核，確保制度持續維運中。

回到目前市場現況來看，除了上述微軟所推強調訴訟、鑑識的驗證制度外，還有不少與個資法相關的管理制度且各有不同特色，像經濟部商業司推出的TPIPAS，雖然現今仍在試辦階段，主要針對電子商務產業，強調是一個完全針對新版個資法而設計的管理制度；而BS 10012獲許多金融業者青睞，市場知名度高又可驗證，且台灣有很多企業導入ISMS，兩套制度系出同門、銜接也比較容易，惟因其乃依據英國個資法而設計，難免會有一些與新版個資法不符之處；至於ISO 29100則是國際標準，惟其內容比較偏重在個資安全維護的行為規範，比較缺乏個資搜集/處理/利用的管理規範。