新版個資法距離正式上路的日子愈來愈近,企業最關心的就是如何做好法規遵循,降低資料外洩風險,以及可能伴隨而來的民事賠償責任。
根據新版個資法第18條,公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。法務部科長黃荷婷解釋,專人就是團隊的意思,公務機關必須成立與個資保護相關的任務編組,負責個資保護規劃及法規遵循。對此,行政院研考會資訊管理處主任吳啟文也有相同看法,個資保護專責人員不應該是一個人而是一群人。
至於非公務機關呢?黃荷婷表示,在新版個資法施行細則修正重點中,將清楚定義什麼叫做適當的安全維護措施,並依照PDCA流程制定出11項必要措施,其中第一項就是成立管理組織、配置相當資源,接下來才是界定個資範圍、風險評估、教育訓練、證據保存等工作,由此看來,成立個資保護專責組織不只是公務機關的法律任務,也是企業做好個資保護的基礎。
公務機關如何規劃專責組織?
究竟,個資保護專責組織該如何規劃?首先看一下公務機關的做法,國家資通安全會報技術服務中心組長黃小玲曾經指出,公務機關在新版個資法施行前,應立即研辦以下事項:
1. 將保有個人資料檔案名稱、保有機關名稱及聯絡方式、個人資料檔案保有之依據及特定目的、個人資料類別等四項法定項目查明清楚並依法公開;
2. 訂定機關之個人資料保護管理要點;
3. 指定「專人」辦理個人資料安全維護事項;
4. 設置「個資保護聯絡窗口」;
5. 指定「召集人」,以便統一決策及執行。
法務部在去(2010)年12月發佈個人資料保護管理要點草案(尚未下達生效),其內容與技服中心的作法相去不遠。草案第一條就明確點出,為落實個人資料之保護及管理,特設置本部個人資料保護管理執行小組,由部長指定小組召集人及執行祕書各一人,其餘11名委員則由各單位指派專人(科長以上)擔任,小組會議視業務推動需要,不定期召開,至於該小組的主要任務包括:研擬與推動個資保護管理制度、個資風險評估及管理、規劃部內員工個資保護相關的教育訓練、個資管理制度適法性的檢視等等。
在法務部的草案中,總共計劃成立三個與個資保護相關的任務編組(圖1),執行小組是其一,另外兩個則是個資保護聯絡窗口,及各單位的個資保護負責人。根據草案第五點,各單位應指定專人辦理單位內與個資保護相關的事項,例如:處理當事人依法所提出的請求權利、法令諮詢、法規遵循、落實組織的個資保護政策、個資保護自行查核、危機通報等。
至於個人資料保護聯絡窗口,則是法務部對外的溝通管道,其任務有彙整部內的個資安全事件通報、公務機關間個資保護業務的協調聯繫、重大資料外洩事件發生時的聯繫窗口、個資負責專人名冊製作與更新、及針對個資專人(專職)規劃相關的教育訓練與統整記錄。
圖1、與個資保護相關的三個任務編組
.jpg)
資料來源:《資安人》整理,2011/8
由於法務部自2010年起,持續敦促各機關制定「個人資料保護管理要點」,已有不少政府單位完成規劃,且公佈於網站上,以下僅羅列其中的17家做比較(表1),這17家是以「個人資料保護管理要點」為關鍵字,在Google搜尋後的結果。就法務部在草案中所羅列的三種任務編組來看,每一個組織都有要求內部各單位指定專人辦理個資保護相關事宜,但只有8家準備成立執行小組,13家計畫設置聯絡窗口。
黃荷婷表示,個資專責組織屬於任務編組,成立執行小組是最理想的方式,但非絕對必要,若各單位只有指派專人負責個資保護事宜,也具備相同意義,因為在發生個資外洩事件時,這群專人一定會聚集起來研擬因應方法,某種程度上也算是一個專責團隊。
專責組織有哪些成員?
若進一步分析這八個單位所規劃執行小組的組織架構,與法務部所研擬的草案大致相同。同樣設有召集人與執行祕書各1人,由該單位最高層長官指派,執行委員若干名,由各部門指派專人參與,有些單位甚至要求參與者的位階要在科長級以上。
個資管理執行小組
在檢視這17個政府單位的個資管理要點時,可以發現有些單位直接在要點裡指定負責相關業務辦理的單位(表1)。以個資管理執行小組為例,行政院退輔會與宜蘭縣政府便已清楚載明兼任者的身份,行政院退輔會由副祕書長、統計長兼任召集人與執行祕書一職,執行委員由各單位主管兼任,而宜蘭縣政府的召集人與執行祕書,則分別由祕書長與計畫處處長兼任。這種做法的好處是,萬一單位面臨人事異動,相關工作也能立刻銜接,不必重新指派避免爭議。另外還有3個單位雖然沒有載明兼任者身份,卻指定了執行小組幕僚工作的辦理部門,行政院人事行政局與海洋國家公園管理處皆由企劃相關部門(一為企劃處,一為企劃經理課)辦理、行政院原子能委員會則是由法規委員會辦理。
表1、各政府單位個資保護管理要點比較
| 單位名稱 |
生效日期
|
各單位指派專人
|
成立執行小組
|
設置聯
絡窗口 |
| 財政部台北區支付處 |
2010/11/9 |
●
|
●
|
X
|
| 交通部 |
2010/11/30 |
●
|
●
|
●
|
| 財政部 |
2010/12/10 |
●
|
X
|
X
|
| 內政部營建署 |
2010/12/2 |
●
|
X
|
●
|
|
行政院國軍退除役
官兵輔導委員會 |
2010/12/31 |
●
|
召集人:副祕書長
執祕:統計長 |
●
|
| 公路總局 |
2011/1/18 |
●
|
X
|
X
|
| 行政院原子能委員會 |
2011/01/20 |
●
|
●
|
●
|
| 宜蘭縣政府 |
2011/2/14 |
●
|
召集人:祕書長
執祕:計畫處處長 |
●
|
| 行政院人事行政局 |
2011/03/09 |
●
|
●
|
資訊室 |
| 臺中市政府教育局 |
2011/03/22 |
●
|
X
|
祕書室 |
| 海洋國家公園管理處 |
2011/03/28 |
●
|
●
|
●
|
| 陽明山國家公園管理處 |
2011/03/31 |
●
|
X
|
●
|
| 金門縣政府 |
2011/08/01 |
●
|
X
|
●
|
| 雪霸國家公園管理處 |
2011/08/10 |
●
|
X
|
●
|
| 公路總局高雄區監理所 |
2011/08/18 |
●
|
●
|
祕書室 |
| 臺中市政府公務人力訓練中心 |
-
|
●
|
X
|
第二組 |
| 臺中市大里區塗城國小 |
-
|
●
|
X
|
教務處
資訊組 |
●:代表該單位個資保護管理要點中有相關規定,但未指定兼辦者身份。
X:代表該單位個資保護管理要點中無相關規定。
資料來源:《資安人》整理,2011/8
個人資料保護聯絡窗口
再就個人資料保護聯絡窗口來看,行政院人事行政局劃分成三個區塊,有關公務機關間個人資料保護業務之協調聯繫事項,交由企劃處負責,倘若發生重大個資外洩事件,則由公關組負責對外發言與媒體聯繫,至於其他業務卻交由資訊室負責,像是資安事件通報、民眾聯繫窗口、個資專人名冊製作及相關員工的教育訓練規劃。
台中市三個單位的作法類似,指定某一部門為主要負責人,像台中市塗城國小指派教務處資訊組長負責,台中市政府教育局則由祕書室兼辦,台中市政府公務人力訓練中心由第二組負責,第二組業務執掌為辦理學員服務、數位學習、巡迴演講實施及其他交辦事項。這些部門辦理個資保護相關業務之諮詢、規劃與稽核,並兼辦個人資料保護聯絡窗口業務,至於各單位所指派的專人,僅需辦理個資法第十八條所定個資檔案安全維護業務。
最後就呈現方式來比較,目前以公路總局高雄區監理所最為清楚(圖2),從網站首頁就可進入個人資料保護專區,專區內不僅公告聯絡窗口的姓名、電話與電子郵件,還提供個資保護管理要點及保有個資的項目彙整表共兩份文件,供民眾下載,至於其他單位多半沒有設置專區,也沒有揭露個資保護聯絡窗口,相關文件隱藏在法規遵循、資訊公開等欄位下,查找不易。
圖2、公路總局高雄區監理所在網站上成立個人資料保護專區,公告聯絡窗口資訊及個資保護相關文件下載。(圖片擷取自公路總局高雄區監理所網站)
從這17個政府單位所發佈的個資保護管理要點來看,並沒有將個資保護工作直接交由資訊部門來負責,而是要求各單位都得參與個資保護作業,顯然多數都能仍認同「個資安全、人人有責」的觀念,只有少數幾個單位認為資訊部門應該主導個資保護作業,至於那些沒有成立個資管理執行小組的單位,還是要有一個主事者(或團隊)比較恰當,也就是技服中心所謂的召集人,否則各部門各自行事、單位政策沒有統一,日後若遇到個資外洩事件,只怕會發生彼此相互推托、無人肯負責的窘境。