觀點

個人資料保護之中庸之道- 個資法推行之困境(上)

2015 / 10 / 12
歐弘詹 資安顧問服務部 專案經理
個人資料保護之中庸之道- 個資法推行之困境(上)

子曰:天下國家可均也,爵祿可辭也,白刃可蹈也,中庸不可能也——《禮記·中庸》

個人資料保護法及施行細則正式實行至今已三年,剛開始鬧的沸沸揚揚,如今卻從絢爛歸於平淡,似乎有雷聲大雨點小的趨勢,何以如此?個資法推行之困境除了政府政策面的執行力外,企業組織中推行個資法的過程及態度上經過這三年下來的練功後,可以大致歸納出三點。

壹、 組織沒有積極的主導單位
新版個資法出爐時,大家議論紛紛,究竟該由哪個單位主導?眾說紛云,由法務、資訊或秘書單位來主導各有道理,但誰也不願意主導,畢竟這是吃力不討好的任務。個資負責人員若未妥善協助組織遵循個資法規定,善盡應有的注意與應有的努力,除了民事責任外,嚴重者尚有刑事責任,因此曾經有被指派負責個資保護議題的承辦人員,擔心因辦理個資保護不力而影響退休權益,索性提早辦理退休的案例。因此組織中除了對於執行個資法導入的主導單位的定位明確外,相對的對於主導單位的人員,組織也需要給予更多的支持及鼓勵,讓執行人員更為正向進行。

貳、 導入個資管理制度方式錯誤造成日常業務窒礙難行
個資法施行細則第12條提到個資保護之「安全措施與所欲達成之個人資料保護目的間,具有適當比例為原則」,但這個精神卻很少有組織能夠掌握良好。例如:有些組織雖存有大量個人隱私資料,卻沒有投入足夠的資源進行妥善因應。反之,另一種組織則杯弓蛇影反應過度,雖然沒有重要敏感的個人隱私資料,卻投入大量人力、物力不斷檢查,流程表單一張又一張,管控措施一層又一層,個資保護無限上綱,深怕有任何風險發生,導致日常作業窒礙難行,行政效率低落。一般而言,好的管理機制應該在風險與處理成本間取得平衡,處理成本也包括必要時保留作業彈性,增進作業效率。換言之,組織導入個資保護管理制度最大難處在於維繫日常業務推行順遂及落實個資保護措施之間取得平衡。

參、 個資事故成本過低
在觀察日本的組織發生個資外洩事故之處理案例,日本組織多半會主動負起責任,查明影響客戶範圍然後主動向客戶說明外洩事件會造成客戶的可能風險後,直接進行賠償。我國個資法第12條及施行細則第22條也規範「組織發生個資安全事故應查明後以適當方式通知當事人」,然而觀察國內個資事故案例實際處理方式,發生事故的組織通常草草了事,只在特定管道中公告。事實上,大部份當事人並不知曉自己的個資已被外洩,即使當事人偶然發現往來的組織有個資外洩情事,也無從確認自己是否被牽涉於其中,且多半個資外洩的組織公告也只說明若客戶有發現個資外洩被誤用而影響權益時,請通知該組織協助處理。簡言之,國內個資外洩組織多半未主動通知資料當事人,當事人在不確定自己權益是否受到影響的狀況下,若貿然聘用律師提告,最後可能得不償失,結果資料當事人只能自認倒楣。甚至相關公務機關,即使知道商家發生個資外洩事故,卻極少主動公告提醒社會大眾注意,變相協助商家隱瞞,間接導致大眾權益受損。故此,國內發生個資事故的組織通常能以非常低廉的成本渡過,以致於組織輕忽個資外洩所帶來之影響,高階管理者也不肯主動積極投入資源保護客戶之個人資料。因此組織的輕忽態度或是高階管理者的積極主動投入與否的行為均會成為導入個資困境或順境的關鍵因素之一。

筆者目前任職於安碁資訊股份有限公司

下回預告: 將探討-個資保護之過與不及的怪現象,敬請期待。