新版個資法通過後,坊間討論重點多在於「如何做好個資保護以免外洩」,資安廠商扛著個資法招牌行銷產品,許多企業也將相關工作交由資訊部門負責,仿佛只要做好資安,就等於是善盡法規遵循責任,事實上卻非如此。
益思科技法律事務所律師蕭家捷表示,資安工作沒有做好,固然可能導致個人資料有不當利用、外洩或遭竊等情事,但是就算落實資訊安全工作,也不代表已經遵守個人資料保護法的規範。
蕭家捷進一步指出,對於個資的搜集、處理與利用,新版個資法有很多程序性的規範,如果沒有做好程序管理,機關或企業還是會有違法風險。舉例來說,個資搜集必須符合特定目的、且要經當事人書面同意…等(詳見新法第19與20條),這就是程序性規範,但與資訊安全無關。
香港在1996年通過個資法,並成立個資私隱專員公署(PCPD),處理民眾投訴的個資爭議,根據其在網站上公佈的23份調查報告,超過半數是因為沒有遵循程序規範所造成,如:沒有取得當事人同意、沒有確實刪除個資…等,顯見企業容易忽略法規裡的程序性規範,因此,新版個資法通過後,除了強化資訊安全工作外,企業還要思考該如何落實個資法的程序性規定,否則即使資安做得再好,在蒐集、處理或利用的階段如果不符合個資法規定,一樣有吃上官司的風險。