新版個人資料保護法從2012年10月正式實施至今已經超過2年,不少企業為避免受到最高達到2億元的罰款,很早就依照條文中規範實施個資盤點,以及執行各種防護措施。只是在個資傳輸管道多元的狀況下,紙本文件無論傳遞、儲存等等,都必須進行全面而詳盡的管理,至於電子儲存媒介更因資訊系統可能存在許多種漏洞,而可能遭受駭客攻擊,因此還得引進多種資安設備協助,才可能符合個資法規的要求。
因為在個資法第二十七條中,已明白規定非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。否則企業一旦發生個人資料外洩事件,在隱私意識抬頭下,權益受損的消費者勢必會向法院提出高額求償,除會面臨高額罰金之外,公司整體形象亦會受到負面衝擊。
只是進行個資盤點與建立個資防護的難度頗高,且可能影響業務運作,因此有不少企業至今仍抱持著觀望的態度,欲等待第一個個資法判例出現後,再決定後續是否要在落實個資法的各項要求。
SGS國際驗證服務部資深評審專員曾蕙瑜表示:「個資法首宗賠償案例已經在2014年10月出爐,某連鎖業者因未依照會員要求刪除資料,並持續發送促銷資訊,而被判罰26,000元。因此尚未完成個資法適法性調整的台灣企業,建議可以依據臺灣個人資料保護與管理制度規範進行制度導入作業,由申請取得TPIPAS(臺灣個人資料保護與管理制度規範)驗證著手,再朝通過BS10012:2009驗證為最終目標。」
借重第三方獨立機構 可降低個資外洩風險
在個資法第二十七條中,規定企業對於個資應該採取適當之安全措施,至於施行細則第十二條則對必要措施做出清楚的定義,包含配置管理之人員及相當資源、界定個人資料之範圍、個人資料之風險評估及管理機制、認知宣導及教育訓練、個人資料安全維護之整體持續改善等,共11項。
但因個資法實行細則並沒有明訂企業執行11項安全措施的詳細作法,因此有部分企業是採取自行審核的方式,但此舉卻也容造成個資防護上的漏洞,一旦因人為操作上的疏忽,發生會員或消費者資料外洩的事件,法院還是可能認定企業沒有善盡保管人責任,而給與較嚴重的裁罰金額。因此,SGS建議企業用戶應先尋求第三方驗證機構協助,先進行個資法規遵循性查核(PCA),再進一步取得TPIPAS、BS10012:2009驗證。
曾蕙瑜解釋:「PCA的驗證基準是以中華民國個資法及施行細則為主,屬於單次申請性質,效益類似個資法規健檢,SGS會出具稽核報告,可在企業有能力建置個資管理系統前,減少個資外洩發生的風險。多年來SGS服務過的客戶,包含中華電信、長庚醫院、渣打銀行、安麗、北區國稅局、檔管局、台鹽生技等公司。」
TPIPAS驗證最佳選擇 SGS擁有最多位個人資料驗證師
問世多年的TPIPAS規範,原本是行政院早期為解決電子商務業者資料外洩事件頻傳,而推動的電子商務個人資料管理暨資訊安全行動方案,希望透過更明確、具體規劃環境面、應用面,以及資安面之政策目標與相對應之推動措施,達成強化民眾個資保護目標。而在新版個人資料法正式實施之後,TPIPAS也順勢進行改版,協助企業能以「PDCA方法論」,建立一套將個人資料保護與事業營運連結之系統化管理制度,進而提升對於個人資料之保護與管理能力。
曾蕙瑜說:「TPIPAS是經濟部商業司推動的個資標章驗證標準,由於已經依據個資法相關法令規範修訂完成,所以100%符合法規要求,目前已經開放各產業申請,目前約13家通過。而SGS則是2014年9月成為第一批核可外部驗證機構,已經有多位具有多項產業稽核經驗的稽核員取得TPIPAS認證的個人資料驗證師,可協助企業完成TPIPAS驗證工作。」
企業取得TPIPAS認證標章後,除須每年進行後續驗證稽核活動外,每兩年亦需重新進行驗證,儘管驗證項目相當多,但因屬於半官方單位核發的和驗證標章,所以相當具有法律公信力。SGS指出企業取得TPIPAS驗證標章後,即可大幅減少個資外洩的機率,堪稱是中小企業因應個資法的最佳選擇。