觀點

因應個資法系列(4) 個資盤點-宜蘭縣府善用網路資源 盤點個資不必花大錢

2011 / 10 / 28
廖珮君
因應個資法系列(4) 個資盤點-宜蘭縣府善用網路資源  盤點個資不必花大錢

新版個資法通過至今已1年多,各公務機關的處理態度皆不一致,有些積極因應有些消極以對,而宜蘭縣政府就是屬於比較積極的那一個,不僅於今(2011)2月公佈個人資料保護管理規範,也同部進行內部個資盤點作業。

 

宜蘭縣政府資訊規劃科科長張炯明表示,地方政府財政經費有限,因此,個資盤點沒有透過顧問或工具來做,而是由資訊部門主導,以人工填表方式進行,至於個資盤點表格,則延用法務部於網站上提供的「機關調查內部單位持有個人資料情形之示範表格」。

 

由於宜蘭縣政府已經成立個人資料保護管理執行小組,並要求各單位及所屬一級機關指派專人(科長級以上)兼任組員,這些個資保護小組組員代表各個單位的聯絡窗口,資訊部門透過他們將盤點表格發送給全體縣府員工,並負責最後的統整工作。

 

為了讓縣府員工瞭解個資盤點的目的,宜蘭縣政府舉辦二場教育訓練,由個資保護小組召集人、也就是宜蘭縣政府祕書長主持,一場是針對全體員工的普遍性演講,主要是以個案方式,討論個資法通過後對業務的影響,另一場則針對各個處的聯絡窗口而舉行,主要談個資法本身的法條,以及一些執行上的問題。

 

即便做了教育訓練,在執行個資盤點上還是會遇到許多問題,像是業務單位反應:「我手上沒有個資檔案、不需要做盤點,」這時只能靠溝通協調來解決問題,因此,資訊部門的人必須先瞭解整個縣府業務,才能跟業務單位溝通,以舉例的方式(如:某某業務會直接與民眾接觸),讓業務承辦人去回想手中有哪些個資檔案。另外,有些業務單位不知道如何定義個人資料,哪些該放入盤點表單、哪些不應該,這些都得由資訊部協助解決。

 

除了業務單位配合度之外,張炯明認為,個資盤點最大的問題是:

1.無法檢核完整性:因為沒有母體資料,不知道個資盤點怎麼做才算完整,只能憑藉自身的經驗法則來做,但不確定是否完全沒有遺漏;

2.組織分工不明確:在新版個資法中要求公務機關應指派專人負責個資保護事項,卻沒有明確解釋專人的定義,稽核工作該由誰來負責比較好?

 

也因此,張炯明建議中央政府能提供個資盤點完整性的檢核工具或參考方針,讓地方政府能夠有所依循,雖然坊間資安顧問有一套方法論,可以針對個資做地毯式搜尋,但地方政府畢竟預算有限,中央政府若能提出指引方針,讓地方政府甚至是中小企業,都能知道如何進行個資盤點及檢核完整性,共同做好個資保護,這才是新版個資法的立法目的。

宜蘭縣政府個資盤點經驗分享

主導單位 計劃處(資訊規劃科)
盤點方式 人工(參照法務部個資盤點示範表單)
盤點表的欄位 單位名稱、項目、個人資料檔案名稱、法律依據、特定目的、個人資料類別、個人資料之範圍、有否特種資料、何種特種資料、有無監督管理之非公務機關及其名稱(現行法)、有無監督管理之非公務機關及其名稱(修正條文)
盤點者 全縣府員工
建議

(1)資訊部門的人必須先瞭解整個縣府業務,才能去跟業務單位溝通,讓個資盤點工作順利進行。

(2)中央政府提供個資盤點完整性的檢核工具或參考方針,讓地方政府能夠有所依循。

製表:《資安人》整理,2011/9