個資法通過,各界皆在引頸期待施行細則何時公佈,但除了施行細則之外,各產業的主管機關是否明確,及個資管理辦法嚴謹度,才是企業能否做好個資保護的關鍵。
根據個資法第27條規定,非公務機關的個人資料安全維護計劃及處理方式,得由中央目的事業主管機關定之,換句話說,各產業的主管機關必須在不抵觸母法的前提下,制定一套可以兼顧產業營運特性的個資管理辦法,作為企業遵循標準。然而,問題是,每一個產業都有相對應的主管機關嗎?那些沒有主管機關或主管機關不明確的灰色產業該怎麼辦?
以餐廳為例,餐廳的設立登記相關事務由經濟部商業司負責,食品衛生安全則交由食品衛生管理局在把關,至於油煙汚染防制則是環境保護局的管理範圍,不同主管機關執掌餐廳事務,哪一個應該負責管理個人資料保護工作?這個問題似乎不像醫療、金融或電信一樣,可以有明確而一致的答案。除了餐廳以外,包括傳銷公司、坊間常見的美容護膚、美髮等產業,都是擁有大量客戶資料卻主管機關不明的灰色產業。
延續釐清各個產業主管機關的議題來看,還有另一個問題就是產業個資管理辦法的嚴謹度。
BSI副總經理蒲樹盛表示,舊版電腦個人資料保護法的規範對象為八大行業,分別是徵信業、醫院、學校、電信、金融、證券、保險及大眾傳播業,自2010年7月起又將無店面零售業納入管轄範圍,至於其他沒有被明確規範的產業,其主管機關在沒有歷史經驗的情況下,可能不知道如何制定個資管理辦法,直覺認定就是交由IT部門負責,而IT畢竟不像業務如此清楚產業營運特性,最後可能造成產業個資管理辦法不清楚、不明確的結果。
因此,法務部在制定施行細則的同時,最重要的是釐清各個產業的主管機關,最好能逐一條列,以免日後引發爭議,並且要監督各產業所制定的個資管理辦法,這才是企業能否做好個資保護的關鍵。