新版個資法通過,許多不同於舊法的規範,讓企業一時間無所適從,不知該怎麼做才不會違法。業者建議最好導入個資管理制度,建立一套標準管理程序,降低個資外洩或非法使用的風險,然而亦有業者認為,企業應先了解自身的法規遵循程度,再配合制度導入來補強不足之處,才是比較理想的做法。
日前,驗證機構台灣TüViT與達文西個資暨高科技法律事務所合作,推出個人資料保護適法性查檢標章- Trusted Site Privacy(TSP),從管理、技術及法律面進行查檢,確保組織在個資保護的做法上是否符合法規要求。
與BS 10012或TPIPAS等個資保護管理制度不同的地方在於,TSP為適法性查檢,所有查檢項目均源自於新版個資法及相關法律規範。TüViT稽核員針對個資保護現況進行查檢、稽核,產出結果後再交由達文西進行適法性的判定及給予法律意見。達文西個資暨高科技法律事務所主持律師葉奇鑫表示,由於新版個資法對於賠償責任的認定,是以組織「違反本法」規定為要件,因此,TSP受檢單位可經由律師的法律建議,確保其就個人資料之蒐集、處理、利用並未違反個資法規定,進而免除賠償責任。
TSP標章效期為2年,查檢項目共400多項,分為必要與非必要兩種,非必要項目驗證企業持續管理的能力,必要項目則查檢管理與技術上的做法,以企業個人資料庫為例,組態的變更管理即為必要查檢項目,然而在變更組態時有沒有程序書,就是非必要查檢項目。TüViT德國CEO Antonius Sommer表示,唯有所有查檢之必要項目均符合要求時,受檢組織才能取得TSP證書及標章。
除了TüViT之外,SGS也計劃推出個資適法性查驗服務,不同於TüViT發放標章的方式,SGS在完成查驗後會產出一份報告,SGS產品經理何星翰指出,從企業未來可能的舉證需求來思考,查檢報告中所列的查核方式、過程與結果,比較能說服法官企業已善盡管理責任。
台灣TüViT協理黃廷弘認為,個資管理系統提供很好的管理機制,卻沒有分析是否符合法規要求,透過TSP查檢服務找出適法性差異,再經由管理制度補強,會是比較好的做法。
BSI台灣分公司產品經理章鈺則提供另外一個思考角度,他表示落實個資法要求,流程、管理、技術、人缺一不可,因此企業必須建立一套涵蓋上述4個面向的管理制度,而這套制度在設計階段,就應該納入內部法務人員或外部專業律師的建議,確保所有文件及程序能夠符合法律規範,如此一來,企業進行適法性查驗時,勢必都能通過查檢項目。
另外,適法性查驗服務就如同健檢一般,可以找出企業的法規遵循程度,卻無法評估風險,舉例來說,企業若隨意放置紙本個人資料,或放在未上鎖的文件櫃裡,這就資料保護來說屬於高風險,卻不違法。
無論個資管理制度或適法性查驗服務都各有其優缺點,何星翰建議,導入國際標準、甚至取得驗證需要一定成本,對於預算有限的中小企業來說,可以考慮透過查驗服務,了解自身與法規落差之處,再設法補強,會是比較兼顧成本與效益的做法。