https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

因應個資法系列(3) 內部專責組織:專人專職 打造個資保護黃金組合

2011 / 10 / 03
廖珮君
因應個資法系列(3) 內部專責組織:專人專職  打造個資保護黃金組合

新版個資法距離正式上路的日子愈來愈近,企業最關心的就是如何做好法規遵循,降低資料外洩風險,以及可能伴隨而來的民事賠償責任。

 

根據新版個資法第18條,公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。法務部科長黃荷婷解釋,專人就是團隊的意思,公務機關必須成立與個資保護相關的任務編組,負責個資保護規劃及法規遵循。對此,行政院研考會資訊管理處主任吳啟文也有相同看法,個資保護專責人員不應該是一個人而是一群人。

 

至於非公務機關呢?黃荷婷表示,在新版個資法施行細則修正重點中,將清楚定義什麼叫做適當的安全維護措施,並依照PDCA流程制定出11項必要措施,其中第一項就是成立管理組織、配置相當資源,接下來才是界定個資範圍、風險評估、教育訓練、證據保存等工作,由此看來,成立個資保護專責組織不只是公務機關的法律任務,也是企業做好個資保護的基礎。

 

 

公務機關如何規劃專責組織?

 

究竟,個資保護專責組織該如何規劃?首先看一下公務機關的做法,國家資通安全會報技術服務中心組長黃小玲曾經指出,公務機關在新版個資法施行前,應立即研辦以下事項:

1. 將保有個人資料檔案名稱、保有機關名稱及聯絡方式、個人資料檔案保有之依據及特定目的、個人資料類別等四項法定項目查明清楚並依法公開;

2. 訂定機關之個人資料保護管理要點;

3. 指定「專人」辦理個人資料安全維護事項;

4. 設置「個資保護聯絡窗口」;

5. 指定「召集人」,以便統一決策及執行。

 

法務部在去(2010)12月發佈個人資料保護管理要點草案(尚未下達生效),其內容與技服中心的作法相去不遠。草案第一條就明確點出,為落實個人資料之保護及管理,特設置本部個人資料保護管理執行小組,由部長指定小組召集人及執行祕書各一人,其餘11名委員則由各單位指派專人(科長以上)擔任,小組會議視業務推動需要,不定期召開,至於該小組的主要任務包括:研擬與推動個資保護管理制度、個資風險評估及管理、規劃部內員工個資保護相關的教育訓練、個資管理制度適法性的檢視等等。

 

在法務部的草案中,總共計劃成立三個與個資保護相關的任務編組(圖1),執行小組是其一,另外兩個則是個資保護聯絡窗口,及各單位的個資保護負責人。根據草案第五點,各單位應指定專人辦理單位內與個資保護相關的事項,例如:處理當事人依法所提出的請求權利、法令諮詢、法規遵循、落實組織的個資保護政策、個資保護自行查核、危機通報等。

  

至於個人資料保護聯絡窗口,則是法務部對外的溝通管道,其任務有彙整部內的個資安全事件通報、公務機關間個資保護業務的協調聯繫、重大資料外洩事件發生時的聯繫窗口、個資負責專人名冊製作與更新、及針對個資專人(專職)規劃相關的教育訓練與統整記錄。

 

1、與個資保護相關的三個任務編組

資料來源:《資安人》整理,2011/8

 

 

由於法務部自2010年起,持續敦促各機關制定「個人資料保護管理要點」,已有不少政府單位完成規劃,且公佈於網站上,以下僅羅列其中的17家做比較(表1),這17家是以個人資料保護管理要點為關鍵字,在Google搜尋後的結果。就法務部在草案中所羅列的三種任務編組來看,每一個組織都有要求內部各單位指定專人辦理個資保護相關事宜,但只有8家準備成立執行小組,13家計畫設置聯絡窗口。

 

黃荷婷表示,個資專責組織屬於任務編組,成立執行小組是最理想的方式,但非絕對必要,若各單位只有指派專人負責個資保護事宜,也具備相同意義,因為在發生個資外洩事件時,這群專人一定會聚集起來研擬因應方法,某種程度上也算是一個專責團隊。

 

  

 

專責組織有哪些成員?

若進一步分析這八個單位所規劃執行小組的組織架構,與法務部所研擬的草案大致相同。同樣設有召集人與執行祕書各1人,由該單位最高層長官指派,執行委員若干名,由各部門指派專人參與,有些單位甚至要求參與者的位階要在科長級以上。

個資管理執行小組

在檢視這17個政府單位的個資管理要點時,可以發現有些單位直接在要點裡指定負責相關業務辦理的單位(表1)。以個資管理執行小組為例,行政院退輔會與宜蘭縣政府便已清楚載明兼任者的身份,行政院退輔會由副祕書長、統計長兼任召集人與執行祕書一職,執行委員由各單位主管兼任,而宜蘭縣政府的召集人與執行祕書,則分別由祕書長與計畫處處長兼任。這種做法的好處是,萬一單位面臨人事異動,相關工作也能立刻銜接,不必重新指派避免爭議。另外還有3個單位雖然沒有載明兼任者身份,卻指定了執行小組幕僚工作的辦理部門,行政院人事行政局與海洋國家公園管理處皆由企劃相關部門(一為企劃處,一為企劃經理課)辦理、行政院原子能委員會則是由法規委員會辦理。

 

1、各政府單位個資保護管理要點比較

單位名稱

生效日期

各單位指派專人

成立執行小組

設置聯

絡窗口
財政部台北區支付處 2010/11/9

X

交通部 2010/11/30

財政部 2010/12/10

X

X

內政部營建署 2010/12/2

X

行政院國軍退除役

官兵輔導委員會
2010/12/31

召集人:副祕書長

 執祕:統計長

公路總局 2011/1/18

X

X

行政院原子能委員會 2011/01/20

宜蘭縣政府 2011/2/14

召集人:祕書長

 執祕:計畫處處長

行政院人事行政局 2011/03/09

資訊室
臺中市政府教育局 2011/03/22

X

祕書室
海洋國家公園管理處 2011/03/28

陽明山國家公園管理處 2011/03/31

X

金門縣政府 2011/08/01

X

雪霸國家公園管理處 2011/08/10

X

公路總局高雄區監理所 2011/08/18

祕書室
臺中市政府公務人力訓練中心

-

X

第二組
臺中市大里區塗城國小

-

X

教務處

資訊組

 

●:代表該單位個資保護管理要點中有相關規定,但未指定兼辦者身份。

 X:代表該單位個資保護管理要點中無相關規定。

資料來源:《資安人》整理,2011/8

 

 

 

個人資料保護聯絡窗口

 

再就個人資料保護聯絡窗口來看,行政院人事行政局劃分成三個區塊,有關公務機關間個人資料保護業務之協調聯繫事項,交由企劃處負責,倘若發生重大個資外洩事件,則由公關組負責對外發言與媒體聯繫,至於其他業務卻交由資訊室負責,像是資安事件通報、民眾聯繫窗口、個資專人名冊製作及相關員工的教育訓練規劃。

 

台中市三個單位的作法類似,指定某一部門為主要負責人,像台中市塗城國小指派教務處資訊組長負責,台中市政府教育局則由祕書室兼辦,台中市政府公務人力訓練中心由第二組負責,第二組業務執掌為辦理學員服務、數位學習、巡迴演講實施及其他交辦事項。這些部門辦理個資保護相關業務之諮詢、規劃與稽核,並兼辦個人資料保護聯絡窗口業務,至於各單位所指派的專人,僅需辦理個資法第十八條所定個資檔案安全維護業務。

 

最後就呈現方式來比較,目前以公路總局高雄區監理所最為清楚(圖2),從網站首頁就可進入個人資料保護專區,專區內不僅公告聯絡窗口的姓名、電話與電子郵件,還提供個資保護管理要點及保有個資的項目彙整表共兩份文件,供民眾下載,至於其他單位多半沒有設置專區,也沒有揭露個資保護聯絡窗口,相關文件隱藏在法規遵循、資訊公開等欄位下,查找不易。

 

 

 

2、公路總局高雄區監理所在網站上成立個人資料保護專區,公告聯絡窗口資訊及個資保護相關文件下載。(圖片擷取自公路總局高雄區監理所網站)

 

 

從這17個政府單位所發佈的個資保護管理要點來看,並沒有將個資保護工作直接交由資訊部門來負責,而是要求各單位都得參與個資保護作業,顯然多數都能仍認同「個資安全、人人有責」的觀念,只有少數幾個單位認為資訊部門應該主導個資保護作業,至於那些沒有成立個資管理執行小組的單位,還是要有一個主事者(或團隊)比較恰當,也就是技服中心所謂的召集人,否則各部門各自行事、單位政策沒有統一,日後若遇到個資外洩事件,只怕會發生彼此相互推托、無人肯負責的窘境。