因應個資法系列(4) 個資盤點-先普查再詳查 臺大兩階段盤點個資

新版個資法規範主體擴大到各行各業，當然也包含各級學校在內，臺灣大學身為第一學府，學生與教職員人數加總將近4萬人，如此龐大的個資數量，管理者若不能確實掌握，風險將難以估計，而個資盤點便成為法規遵循的第一步。臺大計資中心資訊網路組李美雯表示，由於組織規模龐大、員工人數眾多，個資盤點不可能一次到位，必須採取階段性做法，先做大範圍普查，之後再針對各個單位逐一進行深入調查，以免引起員工反彈聲浪。

第一階段個資盤點的目的，從7月底到8月中旬前後約3個禮拜左右的時間，主要是調查目前員工手中所擁有的個人資料，有沒有在特地目的範圍外、或是個人資料類別外的個人資料，這是以法務部於電腦處理個人資料保護法時，所頒布的101項特定目的及個人資料類別為基準。

為了加速完成個資盤點作業，臺大計資中心將個資盤點回報表單系統化，由各單位同仁上網填寫，盤點表的欄位分成保管者與個人資料檔案兩類，第一類填寫一次即可，第二類則可能填寫多次，只要個資檔案名稱不同或格式不同（分成系統、電子檔案、紙本三類），就需再填寫一次：

1.保管者：單位名稱、資料保管人的姓名 / 聯絡電話 / 電子郵件；

2.個人資料檔案：個人資料檔案名稱、法源依據、特定目的、個人資料類別、個人資料範圍、有沒有特種資料及類別、有沒有監督管理之非公務機關、資料保管地點、資料保存期限。

由於數員工對個資法的認知還不夠，不明白為什麼要做個資盤點，也不認同個資盤點對自身業務的幫助，難免產生抗拒心理，因此，計資中心要做的除了開發個資盤點系統外，還要舉辦說明會，央請副校長到現場精神喊話，以行動表達支持之意，最後再將訓練影片上傳至網路，讓校內員工明白個資盤點的意義，填寫表單，並協助盤點者解決填寫時可能遇到的問題。

李美雯表示，最常遇到的問題有二個，第一是不知道該如何歸類使用目的與個資類別；第二則是不確定手中所擁有的個資檔案是否在新法規範範圍內、是否需要填寫盤點表單，舉例來說，有些公佈在網站上的個人資料，像是網管人員的聯絡電話，此類資料要不要填寫，之後需不需要公告搜集的目的、使用時間等，是盤點者最常見的問題。

至於第二階段針對各個單位逐一進行深入調查，目前雖然沒有執行時間表，但臺大已擬定執行計劃。由各單位（以二級單位為基礎，如：各系所、人事室…等）推派資料管理代表，再一次進行教育訓練，由代表來審核第一階段所收回的個資盤點表單是否完整，並針對不完整之處予以補強。

李美雯認為，個資盤點的好處是，可以讓員工注意到手中握有哪些資料，進而思考是否需要保留這些資料，及該如何保管才能降低資料外洩風險。過往的作業習慣是保留全部資料，即便該資料可能用不到也捨不得刪除或銷燬，如今新版個資法通過，留存過多資料反而增加風險，藉由清點個人資料的過程，讓員工意識到其重要性。

有些人認為組織規模龐大的單位，應該要請外部顧問協助，盤點結果才會完整，但是李美雯卻認為，不必急著找顧問幫忙，因為第一階段盤點的目的，只是要確認有沒有在特地目的範圍外、或是個人資料類別外的個資檔案，由計資中心主導執行即可，之後若有建立個資管理制度的需要，再藉助外部顧問的力量即可。最後，李美雯建議，個資盤點工作需動員全體員工，最好能由校內高層如祕書室或副校長室帶頭，比較有成效。

台大個資盤點經驗分享