為何要從企業網站開始觀察?
網站就是一個企業的對外門面也是企業形象。網站帶給大家的服務從單純的企業產品與形象及產品介紹、社群經營,進一步又回歸到商業模式商品販售、拍賣、團購等,不論是B2B、B2C,都非常仰賴於網頁提供大眾第一次的接觸經驗。既然網站揭露了如此多的資訊,我們是否有辦法從網站上,快速概觀企業的法規因應程度呢?所以讓我們從觀察企業對外網站,來看企業正在發生或未來即將發生的故事吧。
網站資訊安全,技術面實施是王道
企業為了維護企業網站中重要「客戶資料」、「交易資料」或是「產品資料」,技術手段是一般常見網站安全優先想到,一般常見大多為透過SSL、TLS、SET等安全加密方式的實現,接下來就是網站應用程式防火牆(Web Application Firewall),網站程式碼檢測(Source Code Analysis)等等設備解決方案。但由於國內幾乎沒有規定對於網站應遵循之「法規」要求,大多具規模的企業網站是遵循國外「標準」,如支付卡產業資料安全相關國際標準(PCI-DSS, Payment Card Industry Data Security Standard)。
看企業有沒因應「個資法」,可從網站最不用花錢的細節開始檢查
所以當企業負責人關心個資法議題時,詢問相關人員回答企業自身因應程度,通常無法提出明確與肯定的遵法證據。所以本文將透過「網站」的適法性檢視,讓讀者了解企業網站常見服務與個資法相關性,以提供各企業作為「網站外顯」檢視自身適法性之參考:
表1:網站個資基礎檢視表
違法的影響:於表1中所提到的網頁內容與流程上,需要檢查的是「個資法」法規遵循要求,比方如果遭人檢舉時,可能會被「各主管機關或直轄市、縣(市)政府(5個直轄市、12個縣府機關),按次處新臺幣二萬元以上二十萬元以下罰鍰」。所以下一步,我們要進行的是依照表2檢查網站中具備個資蒐集條件之功能頁面內容(表1),其中是否滿足個資法第八條所要求的六項告知說明(註1):
(註1):
1. 個資法第八條,直接蒐集需告知之六項要求:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
表2:網頁外顯自我檢查表
(註2.) :
個資法第三條,當事人可行使權利包括:一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。
透過以上分析我們就可以來計算積分,確認企業適法性落點區間範圍(見表3):
表3:自我檢視與落點分析建議
針對社會新鮮人所夢想就業的企業網站,進行個資法外顯因應抽查
個資法實施至今已經邁入一週年,我們針對社會新鮮人所夢想就業的企業網站,進行企業網站「加入會員」、「人才招募」、「聯絡我們」及「行銷活動」於個資法第八條適法性檢查。總計本次檢查行業別包括出版與零售業、休憩旅遊業、百貨暨餐飲業、批發零售業、金融業、旅館飯店業、航空暨運輸業、國營事業、軟體業、網路服務業、製造業、廣告傳播等行業別(請見文末「抽查數據說明排除與注意事項」)。以下分析數據為提供企業參考了解其自身網站是否有外顯之違法之風險並加以因應。
圖1:企業個資外顯因應落點趨勢圖
觀察企業外顯個資法適法性概況分析
由圖1所示,提醒於「完全違法」(紅色區塊)的企業,由於目前中央目的事業主管機關(以下簡稱「主管機關」),包括內政部地政司、公平交易委員會、勞工委員會、中央銀行已陸續產出五份個人資料檔案安全維護計畫,可見各主管機關已加速制定個資法相關管理程序,建議企業應該及早檢視自身遵法狀態儘速改善,避免待各主管機關要求才發現企業完全未因應進而受罰。
位於「適法狀態良好」(綠色區塊)或往綠色區塊前進之企業,建議仍須注意容易忽略的網頁個資進入點。例如:在遵法因應排名比例為加入會員(34%) >人才招募(28%) >行銷活動(13%) >聯絡我們(9%),企業應通盤考慮所有個資進入點以評估提供適當遵法性告知。
外顯因應目標分析
以下部分目的為檢視企業網站服務與「加入會員」、「人才招募」、「聯絡我們」及「行銷活動」,將相關之文字及流程列入檢視要件。
(一)「加入會員」檢視:
> 依抽查數據發現具備客戶服務屬性之相關行業,為避免具新聞敏感度之客戶族群關切,如「休憩旅遊業」、「出版零售業」、「網路服務業」為因應較為完整之行業族群。
> 「軟體業」、「金融單位」等行業雖已注意到法規要求,但遵法性告知內容明顯不足,文字連結提供不明顯建議儘快改善。
> 至於目前因應程度不佳之「旅館飯店業」建議需注意各主管機關法規要求進度(如:「觀光旅館業與旅館業及民宿個別旅客直接訂房定型化契約應記載及不得記載事項草案」)盡早因應。
表4:外顯因應目表分析表-加入會員
其他建議事項:
> 部分「國營事業」、「廣告傳播業」於告知時仍使用舊法「電腦處理個人資料保護法」文字敘述,建議應儘速更新相關敘述。
> 部分「批發零售業」於告知相關連結,採用無效連結建議應儘快改善。
(二)「人才招募」檢視:
> 大部分企業都已經提供因應,並發現多數採用人力銀行方案,建議應持續對委外單位進行合約強化與監督之對應程序。
> 關於「軟體業」、「廣告傳播業」雖已進行相關因應,但遵法性告知內容明顯不足,文字連結提供不明顯建議儘快改善。
> 至於因應不佳之「休憩旅遊業」、「航空暨運輸業」、「批發零售業」、「國營事業」、「網路服務業」、「製造業」,發現除未因應之外,尚發現僅對特殊身分職能別告知/提供全狀況僅以單一情境告知,建議應適當調整以符合各主管機關法規要求。
表5:外顯因應目表分析表-人才招募
(三)「聯絡我們」檢視:
> 「聯絡我們」一般為進行認知訓練與顧問服務時,最常見企業忽略管制之項目,可能由於「聯絡我們」為一般網站用戶使用行為中較少運用,但建議基於顧客情緒未適當轉化又發現適法性不足之時,則可能對於企業信賴度(Reliability)與服務有效性(validity)產生質疑,為避免影響企業服務評價,所以除確認已符合個資法第八條相關免告知之條件,皆建議企業應重視本項目並提供適當之合規因應作為。
表6:外顯因應目表分析表-聯絡我們
其他建議事項:
> 部分「製造業」採用無效告知之連結,請儘快改善。
> 部分「航空暨運輸業」相關告知連結與功能無關且不明顯,建議儘快改善。
(四)「行銷活動」檢視:
> 「行銷活動」亦為企業常見忽略管制項目,由於企業相關活動辦法於行銷活動初期,皆由法務單位/法律顧問審閱使用,但並未於相關法規公布後重新評估與調整。故建議具備個資蒐集之活動規劃應審慎評估,是否需調整優化實施告知,以符合顧客於參與活動對於過程與規範合法性(Legitimacy)、公平性(Fairness)之期待。
表7:外顯因應目表分析表-行銷活動
總結
綜合以上數據可發現企業不需龐大財力、物力與資源,即可完成網站外顯適法性因應,只要有效調整網站外顯內容,就能讓企業網站外顯風險達到最基本適法性控制。(請注意,完成網站外顯因應不代表已滿足個資法要求。此部分請參照本文後方之適用性聲明第四點說明。)
建議企業應以健康心態,正視個資保護意識日益增長的顧客/廠商,認真看待企業個資管理之責任,因為這是無法避免的企業責任與義務。盡早成為企業委外、選商、顧客選擇之優質服務安全廠商。
*「抽查數據說明排除與注意事項」:
一、 本次檢測採用上述功能量化方式計算,總計50間企業。
二、 排除說明:表列數值中””不適用項目,表示企業可能採用委外服務,如:網頁採用人力銀行人力招募服務將不列於本次抽查之網頁數據參考範圍。但建議企業應採取「個人資料保護法施行細則」第八條對於委外關係之監督與管理。
三、 於本次網頁抽查數據,如「聯絡我們、行銷活動」等個資蒐集進入點,若企業判斷認為不需進行「個人資料保護法」第八條之相關告知事項,應確實評估是否符合「依法律規定得免告知」、「個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要」、「告知將妨害公務機關執行法定職務」、「告知將妨害第三人之重大利益」、「當事人明知應告知之內容」之要件。
若不確定以上要件,建議應以法規要求之最大原則建立適當之法定告知事項。
四、 適用性聲明:本文所稱之適法性因應,請依企業經營規模與營運流程現況規劃調整,相關之因應檢視方式僅供企業自行檢測「外顯網站相關功能」法規遵法因應狀態,但並不代表已滿足「個人資料保護法」所稱相關要求與適當之安全維護措施,建議企業應依經營現況投入適當人力與相關資源以符合法令要求。
本文作者任職於系統整合公司擔任資訊安全暨個資輔導顧問一職,具備資訊安全管理規劃、弱點及稽核防護輔導經驗。取得ISO/IEC 27001 Lead Auditor等資訊安全認證。