新版個資法施行細則究竟何時上路,已經成為許多企業關注的焦點,日前,在科顧組指導、資策會委託、中華龍網執行的「個資新制 如何降低個資外洩之高額民事損害賠償座談會」上,除了從法律觀點來看個資新法,針對各國個資外洩判例,及個資外洩民事損害賠償做討論,也邀請法務部科長黃荷婷說明個資法施行細則修法重點。
黃荷婷表示,目前仍依據原始排程、亦即11月25日前將施行細則草案送交行政院,但草案通過有一定的行政程序,她預估最快要到2012年才會正式施行。在施行細則草案中,有幾個比較明確的修正方向:
第一、間接識別個資的定義。
某些個人資料如:手機號碼、金融帳號、身份證字號、E-mail信箱等,可能無法直接看出來當事人是誰,但若企業可以經由資料比對或排列組合的方式,找出當事人的身份,則此資料就屬於可以間接方式識別該個人的資料,同樣得做好保護。舉例來說,公司建有會員資料庫,輸入身份證字號就能查出會員身份,則身份證字號就屬於可間接識別該個人的資料。
第二、修正「刪除」的定義。
刪除不等於銷毀,如果是紙本資料的刪除,只要將資料塗抹掉即可,如果是電子資料的刪除,則是按下Delete鍵就可以。
第三、明定委託人應對受託人為適當的監督。
委託人在尋找委外廠商時,可將資安措施、內部管控制度、隱私權的教育訓練等三點列為評估因素,在委外廠商履約過程中,也要適時地監督受託人,因為受託人(委外廠商)若發生資料外洩,委託人同樣得擔負起責任。
第四、安全維護措施。
參考德國個資法規範,去除善良管理人注意義務,以免日後舉證不易,轉為規定公務機關或非公務機關應採取技術及組織上之必要個資保護措施,而企業投入這些必要措施的成本,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限,但這個比例沒有標準答案,只能由法官適情況決定是否達到適當比例。
第五、書面的定義。
書面不一定只能是紙本文件,只要內容可以完整呈現、沒有被竄改,並可於日後取出供查驗者,在蒐集者及個資當事人同意下,就可使用電子文件,如:E-mail。
第六、告知的方式。
在新版個資法第8、9、及54條所定的告知,可以書面、電話、傳真、電子文件或其他適當方式為之,企業可自由選擇告知的方式,但重點是要做到個別告知。
第七、資料外洩的通知義務。
倘若發生資料外洩事件,企業應即時通知當事人,這是能否降低損害賠償的關鍵,通知方式可以是電話、信函、傳真、電子文件等,但若耗費過鉅,可以斟酌技術之可行性及當事人隱私之保護,以網路、新聞媒體或其他足以使公眾得知的方式為之。