保護個人資料,是近二年來企業營運的重要課題,隨著新版個資法上路的日期愈來愈近,企業愈想知道如何才能做好法規遵循,其中,舉證就是相當重要的一件事。
新版個資法倒置舉證責任,企業必須證明自身無故意或過失,才有可能不必擔負損害賠償責任。現今許多資料都是透過電腦來處理,系統Log是最容易保存與取得的證據,惟需注意證據留存的完整性。雖然很多IT系統或資安設備都可以留存Log,但是這些設備的Log資料保存期間有限,而且都是單點資料,如果要證明企業沒有過失,必須要串連其他的系統或設備,完整描繪事件經過,才有可能說服法官。
再者,證據留存範圍還得涵蓋整個個人資料處理流程,splunk經理林岳樺表示,證據留存要結合個人資料生命週期,亦即保留個人資料從搜集、處理、利用到銷毀的所有記錄,甚至可以讓稽核人員用來驗證有沒有做好改善事項,假設企業原本沒有客戶變更個資的作業程序,稽核人員因應新法規範要求建立,藉由系統記錄可確認變更個人資料的行為時,是否經過客戶本人要求(如:結合CTI、mail的記錄)…等,確保資料更動是在客戶提出要求的情況下進行,透過系統監測與記錄,降低企業的違法風險。