新版個資法通過後,企業在遵循法規的規劃中,多從如何保障個資安全的角度出發,卻忽略了安全風險不可能降為零,與其拚命追求個人資料百分之百的安全,睿明資通首席顧問鍾榮翰認為,不如從「防止訴訟成立」的角度出發,這才是比較主動積極的做法。
站在保護個資安全的角度,企業要採購的資安設備永無止盡,從DLP、DAM、LM、加密等,每一項產品的功用不同,也為個資安全提供了不同的保障,如果每一項都要採購,不只投資成本龐大,甚至有可能讓企業因此卻步,乾脆什麼都不買,出事了再說。但若是從防止訴訟成立的角度出發,則做法就不一樣。
鍾榮翰進一步指出,訴訟成立要件有四種:大筆個資不當揭露、當事人的行為資料、當事人的識別資料、損害因果關係。舉例來說,小王接到詐騙電話,內容是小王在XX網路商店下單的交易資料有誤,請至ATM前轉帳,在這起詐騙案件中,因為同時具備小王的身份識別資料(即電話)、行為資料(在XX網路商店交易),可推論因果關係(XX網路商店資料外洩、造成小王接獲詐騙電話),如此訴訟才會成立。
因此,企業只要防止這4個要件同時存在,就能避免訴訟成立,從這個角度去思考相對應的個資安全維護措施,例如:個資去識別化,將電話號碼做遮罩處理,倘若員工需要撥號,則設定由系統自動撥出,如此才能避免買到錯誤或沒有用的資安設備,真正做到將錢花在刀口上。