首頁 > 焦點新聞

個資法施行細則 定義12項適當安全維護措施

作者:張維君 -2011 / 04 / 25 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

個人資料保護法在去年4月通過後,引起各界一陣嘩然。高達新台幣二億元的賠償上限,讓許多企業不得不開始關注這部法案,並重視資訊安全。儘管母法已經制定,然而企業究竟該如何遵循?該優先採取哪些因應措施?這一連串的問號,又讓許多企業停了下來,「先等施行細則公佈在說」他們說。

 

針對個資法最新現況,法務部法律事務司科長黃荷婷,在上週於台北國際資安展舉辦的「個資法、政府資安、隱私標章、數位鑑識 聯合座談會」中表示,法務部計畫於6月底將施行細則草案送交行政院,預計在今年1125日完成。(註)

 

目前個資法施行細則修正重點包含1.兼顧個資保護與合理利用;2.明訂委託人對受託人適當的監督;3.界定醫療、基因、健康檢查的概念定義;4.界定當事人自行公開的定義;5.告知方式;6.適當安全維護措施定義。(詳細內容請見第75期資安人雜誌)其中,最受資安從業人員關注的包括何謂適當安全維護措施。

 

黃荷婷指出,在施行細則將規定非公務機關的善良管理人注意義務,以及明訂安全維護事項,總計12項,包括1.必要的組織;2.界定個人資料範圍;3.個人資料蒐集、處理或利用的程序;4.當事人行使權利的處理程序;5.資料安全;6.資料稽核;7.人員管理及教育訓練;8.設備管理;9.紀錄與證據之保存;10.緊急應變措施及通報;11.改善建議措施;12.其他安全維護事項。上述12項是法務部制定的施行細則內容方向,而後各中央目的事業主管機關,也可據此往下訂出個人資料檔案安全維護計畫的法規命令,預計完成時程也是今年1125

 

以經濟部商業司來說,將針對電子商務業者推出個人資料保護與管理制度(TPIPAS)企業導入並通過驗證後將核發個人隱私保護標章(DP Mark)。經濟部商業司科長陳威達表示,取得此標章的企業意味其個資保護措施不僅符合,更超過個資法的規範要求。

 

精誠資訊資安顧問林文腕指出,從這12項安全維護事項可以看出,只要企業當初在建置資訊安全管理系統(ISMS),有涵蓋到個人資料的系統範圍,許多項目就不需從頭來過。與ISMS相比,此安全維護事項直接要求界定個資範圍,因為有個資存放的設備就是高風險區域,所以對中小企業來說,要符合法規比較不會有太高的入門門檻。

 

(註):施行細則草案在法務部送交行政院後,行政院將視情況召開會議決定爭議處,而後才公告施行細則正式版本,並同時公布法案正式施行日期。11月25日為法務部送交施行細則草案至行政院的預定時程,非施行細則公告日期。


如欲閱讀完整內容,請成為《進階會員》
推薦此文章
27
人推薦此新聞
文章回應話題
小小冰 發表於: 2012 / 04 / 16
我們資安廠商熬熬待補 有個資商機當然好囉 軟硬體 顧問加上訓練(lead auditor 是大家的最愛!) 管他細則證據ISMS 資安永遠大於法律
轉嫁才是王道 發表於: 2011 / 10 / 28
IT趕快把責任轉給其他單位自行負責單位個資 才是王道 你不care那就自己去死別拖累IT 牽脫組織
kant 發表於: 2011 / 07 / 24
首先要瞭解的是,一個企業有多少資金可以做到這項需求,連一筆個資就要遵守這樣的規定喔.現今連Sony的網路都會被攻破,將來就等著看誰倒楣被殺頭而已.IT如何能有效防範呢?ISMS只是個管理辦法,管理範圍可大可小,如果今天ISMS就能搞定,根本不用個資法來處理,所以如同其他人的看法,單純用ISMS無法有效防止個資外洩,尤其是舉證善盡保管責任.我想,IT該轉行囉........
foolish 發表於: 2011 / 05 / 08
ISMS講的東西不就是資訊安全,而個人資訊不也是其中的一部份嗎?
法令不就告訴我們這一類的資訊應該再加強某些部份嗎?
假如,ISMS原本的適用範圍就是全公司的話,那麼只要在原來的規範之中,
增加這類資訊蒐集、處理與利用的適法性不就可以嗎?
不知為何大家會把它搞得這麼複雜?
原因不就是原範圍受侷限,沒有涵蓋個資部份;
ISMS敷衍了事的心態,試問有多少組織是做真的?
哎~~大家都沒把制度當一回事,搞再多也是多餘啦!
現在就比誰比較倒楣被當殺雞警猴的那隻雞了。
不難就等十年後有資安認知的人當道了...可悲呀!
SafeZone 發表於: 2011 / 05 / 05
全球化黑市vs.台灣立法品質=井底之蛙以卵擊石
李少華 發表於: 2011 / 05 / 05
小弟同意萬Sir說法,依個人理解個資管理應依照產業特性,檢視個資蒐集處理利用的適法性,蒐集處理對於機構業務的必要性,第三方利用的管理責任及當事人權利與資料正確性,以及後續事件的應變處理,證據保存鑑識,這些程序大部份在營運面要去釐清,且相互影響.這些都不是ISMS挑完133項控制,就足以證明善盡善良管理人責任的.如果仍把個資保護像過去以為是資訊部門推動ISMS就可以搞定,恐怕風險真的很高.
SafeZone 發表於: 2011 / 04 / 29
政府只是想搞個政績吸引選票罷了
資安法案適用性都不考量
台灣很多法案訂定都是如此!
只不過是唱高調吧了!
什麼規則都要定的比國外嚴苛
都只是作面子跟不如人的表面功夫
資安廠商在旁邊當然是搧風點火
反正法案過了有前賺沒有反對的必要
就算有疏失賠錢的是企業
企業資安做不好被罰!
資安廠商前已經賺到啦!
法務部真的是對資安一俏不通
資安廠商對技術管理的市場專精根本就不懂黑市
對相關的研究的paper可以說沒有吧!
亂通過法案多弄垮幾家公司是吧!
立法院帶種趕快通過我等著看笑話
張維君 發表於: 2011 / 04 / 26
不好意思,我當初問的題目是只針對適當安全維護措施的12項在談,若ISMS有涵蓋到個資的系統,就不用從頭來,可能調整就好。像是1.2.5.6.7.8.部分的9.10.11.12應該ISMS都有含括到。ISMS我想只是一個基礎,至於3.4或法條其他部分要遵循的話,企業還有更多工作要作。謝謝Thomas提醒~
萬幼筠 發表於: 2011 / 04 / 26
小弟認為精誠的林小姐這樣推論, 相當危險, 舉凡證據保存, 封存,銷毀.還有非數位化資料的保護, 還有事件應變與損害管制, 以及當事人的權利程序, 最後還有委外管理查察的記錄, 這些都是傳統ISMS不太重視而忽略或是在國內不是流行的實務. 如果只照ISMS來佈建遵法對策, 風險很高啊..
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…