法規遵循與個人資料保護 回到資安Q&A
Q
公司目前在盤點個資,但是使用者都說自己手上沒有個資,該怎麼辦?
公司高層最近下令要資訊部負責個資盤點,但是要求使用單位填盤點表時,他們卻說:「我們手上沒有個資,不用寫,」請問該怎麼辦?
提問者: wusa 提問時間: 10/21/2011
A
值班醫師回應

這是許多公司在做個資盤點時,經常會遇到的問題,解決方法其實很簡單,只要在個資盤點之前,先針對使用者進行完整的教育訓練,讓他們明白做這件事的意義和目的,後續作業自然就會順利許多。


個資盤點與一般資產盤點不一樣的地方是,一般資產是固定不變的,舉例來說一台個人電腦,不論這台電腦所在的位置,都仍然是一台個人電腦,所以在一般資產盤點時,只要告訴盤點人員標的物為何,就比較容易有盤點結果,但個人資料盤點卻不太一樣,在新版個資法中,對於個人資料的蒐集、處理、利用都有規範,換言之,需要盤點的個資,並非只是個人資料而已,而是個人資料的流程。


舉例來說,人事基本資料並非僅有在人員報到時才會使用到,後續包括人員的薪資、訓練、考核、福利等也都會用到部分的人事資料,如果只是在盤點是否有個人資料,以前述的例子,很多人就會認為說,我只是從負責人事報到的同仁那邊取得的資料,資料源頭都是從那邊來的,所以他那邊管好了我就沒有問題。


再舉另外一個例子,在許多公務機關會有經辦的同仁,將部分經手案件,自行影印後放在個人的檔案櫃中,以便日後查詢參考。但這些承辦案件的影本,也可能會包含了部分的個人資料,但未必經辦人員會認為這些文件也包含有個人資料,認為只有原始的申請表單才有個人資料。也就是因為這樣,造成了第一個個資會盤不到的情形。


另外新版的個資法第二條對於個人資料有很詳細的定義,但許多人認定的個人資料,僅限於姓名、出生年月日、身分證字號及信用卡卡號等少數幾項。甚至只認定是客戶資料才算是個人資料。但對於員工基本資料,或是其他客戶所委託執行業務中包含有個人資料的部分,則很容易被忽略掉。如果當初在個資盤點前,沒有清楚的定義及說明,就很容易有個資盤點不到的情形。


再舉一個例子來說,新版個資法第二條中有提及得以直接或間接方式識別該個人之資料,那麼員工編號算不算個人資料的一部分,或是員工編號需要搭配員工姓名才屬於個人資料,這些也都是需要清楚的定義。因此對於個人資料缺乏明確的定義,或是盤點人員和定義的個資有落差,也是另外一個會造成個資盤點不到的原因。


基於以上兩點,在進行個資盤點以前,一定要先在單位內對同仁進行教育訓練,一方面讓相關同仁了解,新版個資法與過去的差異,還有強調的重點。同時也讓進行盤點的人員很清楚的了解那些是個人資料。如果在盤點的過程中,有碰到任何實務作業的問題,也需要及時處理。要記得個資盤點的時候,如果只是發一張表格讓大家填寫是不夠的,惟有先將教育訓練的工作做好,才能確實盤點出單位內所擁有的個人資料。能夠有效的將個人資料盤點出來,才能夠進一步的推動後續各項個資保護的工作。

資安急診室醫師介紹
資安顧問
擁有20年資安顧問、稽核輔導經驗,尤其熟悉金融產業。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字