觀點

因應個資法系列(4) 個資盤點-先普查再詳查 臺大兩階段盤點個資

2011 / 10 / 28
廖珮君
因應個資法系列(4) 個資盤點-先普查再詳查  臺大兩階段盤點個資

新版個資法規範主體擴大到各行各業,當然也包含各級學校在內,臺灣大學身為第一學府,學生與教職員人數加總將近4萬人,如此龐大的個資數量,管理者若不能確實掌握,風險將難以估計,而個資盤點便成為法規遵循的第一步。臺大計資中心資訊網路組李美雯表示,由於組織規模龐大、員工人數眾多,個資盤點不可能一次到位,必須採取階段性做法,先做大範圍普查,之後再針對各個單位逐一進行深入調查,以免引起員工反彈聲浪。

 

第一階段個資盤點的目的,從7月底到8月中旬前後約3個禮拜左右的時間,主要是調查目前員工手中所擁有的個人資料,有沒有在特地目的範圍外、或是個人資料類別外的個人資料,這是以法務部於電腦處理個人資料保護法時,所頒布的101項特定目的及個人資料類別為基準。

 

為了加速完成個資盤點作業,臺大計資中心將個資盤點回報表單系統化,由各單位同仁上網填寫,盤點表的欄位分成保管者與個人資料檔案兩類,第一類填寫一次即可,第二類則可能填寫多次,只要個資檔案名稱不同或格式不同(分成系統、電子檔案、紙本三類),就需再填寫一次:

1.保管者:單位名稱、資料保管人的姓名 / 聯絡電話 / 電子郵件;

2.個人資料檔案:個人資料檔案名稱、法源依據、特定目的、個人資料類別、個人資料範圍、有沒有特種資料及類別、有沒有監督管理之非公務機關、資料保管地點、資料保存期限。

 

由於數員工對個資法的認知還不夠,不明白為什麼要做個資盤點,也不認同個資盤點對自身業務的幫助,難免產生抗拒心理,因此,計資中心要做的除了開發個資盤點系統外,還要舉辦說明會,央請副校長到現場精神喊話,以行動表達支持之意,最後再將訓練影片上傳至網路,讓校內員工明白個資盤點的意義,填寫表單,並協助盤點者解決填寫時可能遇到的問題。

 

李美雯表示,最常遇到的問題有二個,第一是不知道該如何歸類使用目的與個資類別;第二則是不確定手中所擁有的個資檔案是否在新法規範範圍內、是否需要填寫盤點表單,舉例來說,有些公佈在網站上的個人資料,像是網管人員的聯絡電話,此類資料要不要填寫,之後需不需要公告搜集的目的、使用時間等,是盤點者最常見的問題。

 

至於第二階段針對各個單位逐一進行深入調查,目前雖然沒有執行時間表,但臺大已擬定執行計劃。由各單位(以二級單位為基礎,如:各系所、人事室等)推派資料管理代表,再一次進行教育訓練,由代表來審核第一階段所收回的個資盤點表單是否完整,並針對不完整之處予以補強。

 

李美雯認為,個資盤點的好處是,可以讓員工注意到手中握有哪些資料,進而思考是否需要保留這些資料,及該如何保管才能降低資料外洩風險。過往的作業習慣是保留全部資料,即便該資料可能用不到也捨不得刪除或銷燬,如今新版個資法通過,留存過多資料反而增加風險,藉由清點個人資料的過程,讓員工意識到其重要性。

 

有些人認為組織規模龐大的單位,應該要請外部顧問協助,盤點結果才會完整,但是李美雯卻認為,不必急著找顧問幫忙,因為第一階段盤點的目的,只是要確認有沒有在特地目的範圍外、或是個人資料類別外的個資檔案,由計資中心主導執行即可,之後若有建立個資管理制度的需要,再藉助外部顧問的力量即可。最後,李美雯建議,個資盤點工作需動員全體員工,最好能由校內高層如祕書室或副校長室帶頭,比較有成效。

台大個資盤點經驗分享

主導單位 資訊部門
盤點方式 人工(參照法務部個資盤點示範表單並開發成系統)
盤點表的欄位

(1)保管者:單位名稱、資料保管人的姓名 / 聯絡電話 / 電子郵件。

(2)個人資料檔案:個人資料檔案名稱、法源依據、特定目的、個人資料類別、個人資料範圍、有沒有特種資料及類別、有沒有監督管理之非公務機關、資料保管地點、資料保存期限。
盤點者 全校員工
建議

(1)對於規模龐大、員工人數多的組織,最好能階段性地盤點個資,先做普查再逐一做深入調查,避免引起反彈。

(2)個資盤點工作需動員全體員工,最好能由組織高層人士帶頭,比較有成效。

(3)個資盤點並不難,一開始由內部執行就可以,之後若要建立 個資管理制度,才需要藉助外部顧問的力量。

製表:《資安人》整理,2011/9