大選剛結束,新內閣對個資法的高度關注,促使法務部將上路目標訂在2012年7月1日,其中窒礙難行的部份則考量以加強宣導、修法或暫緩執行等策略,如此明確的時間表,讓原本漸趨於平靜的討論聲浪,又再度熱烈起來,企業不再將「因應個資法」當作口號,而是認真思考該做哪些事,部份金融業還公開招標表示要導入個資法相關的管理制度。
然而,從這些已經啟動因應個資法專案的企業或組織來看,很多是由IT人員擔任主導者,或許是因為個資法立法精神在於做好個資保護、維護資料安全,使得企業容易將個資保護與IT畫上等號,卻忽略法規遵循不單只是資安問題。
不過,金融業是少數的例外。在一場銀行同業的內部會議中,與會11家銀行皆表示,個資因應計劃主導者不是IT部門,而是法務、業務、策略、風管…等單位,原因在於2011年接連爆出紙本資料外洩的新聞事件,加上銀行內部已先舉辦個資法相關的教育訓練,使得高層主管認知到「個資保護不僅僅是IT責任」,才會交由IT以外的單位負責。
益思科技法律事務所律師蕭家捷表示,資安工作沒有做好,固然可能導致個人資料有不當利用、外洩或遭竊等情事,但就算落實資訊安全工作,也不代表已經遵守個人資料保護法的規範,如果企業在個資搜集、處理與利用階段,沒有遵循新法內的程序性規範,一樣有違法風險。
舉例來說,某企業擬聘雇保全人員,並要求應徵者提供良民證及健康檢查報告,這樣的行為屬於蒐集特種個人資料,必須遵守個資法裡的程序性規範,也就是不能蒐集,但卻與資訊安全無關,不管企業採購再多、再好的資安設備,也無法解決個人資料保護法遵循的問題。
香港個人資料私隱專員公署(以下簡稱PCPD)自1997年至2011年共出版了23份調查報告(表1),用以說明自身所接獲民眾投訴企業侵犯個資案件的調查狀況,其中投訴比例最高的原因,是企業沒有取得當事人同意,就將個資做為蒐集目的外的利用(如:提供給第三方機構做行銷),或因內部作業流程失誤,未依照個資當事人的請求刪除個資。
表1、香港民眾投訴企業侵犯個資的原因
投訴原因
|
家數
|
在沒有取得當事人同意下,將個資用於搜集目地以外的用途,或提供給第三方機構
|
10
|
未依照當事人請求查閱、更正或刪除個資,或要求當事人必須付費才能行使請求權
|
4
|
蒐集過多個人資料
|
3
|
以針孔攝影機不當搜集個資
|
2
|
個人資料外洩事件
|
2
|
個資保留期間太長未適時刪除
|
1
|
沒有確保個資正確性,以致當事人權益受損
|
1
|
資料來源:香港個人資料私隱專員公署調查報告,《資安人》整理,2012/2
由香港經驗來看,個資法裡的程序性規範顯然容易被企業忽略,因此,比較理想的作法是由法務人員主導,先協助落實個資法中各種程序性規定,再由IT人員針對個資安全維護提供專業建議,透過法務與IT協助合作,才能提高企業法規遵循程度。
個資事件前、法務人員的工作職掌
究竟,個資法通過後,企業法務人員的工作職掌會有哪些改變?如果以個資事件(含權利行使、個資外洩…等狀況)為分水嶺,事件發生後,首要做的就是事件因應處理,倘若遇到訴訟案件,還要進一步協助舉證,證實企業已盡到善良管理人責任,至於哪些資料或文件可以做為舉證證物,《資安人》83期「面臨個資訴訟 企業該如何舉證」有深入說明。
回到事件發生前來看,法務人員的工作主要為以下七點。
第一、推動內部個資教育訓練
個人資料使用遍及企業各個部門,包括人事、行銷、業務、客服、資訊…等部門都有機會接觸個人資料,因此,法務人員不只要了解個資法規範,還要擔任種子教師,負責內部訓練、法令宣導,讓全體員工明白個資法的重要性,並將法規遵循化為日常營運流程,才能避免發生違法事件。
第二、修改契約、審議條款
檢視企業現有契約中哪些與個人資料有關,並重新撰擬相關條款,通常分成兩種,第一種是針對消費者而訂的契約,如:使用者契約、會員服務條款、網站使用條款,資策會科技法律研究所組長郭戎晉表示,此類契約要增加的條款以告知事項、隱私權聲明、當事人權利行使機制…等為主,第二種則是與合作廠商訂定的委外契約,可參考個資法施行細則第8條所訂的委託人監督責任,將相關機制或要求融入在契約中,無論任何一種商業行為,只要有可能涉及個資的使用,就要增列相關文字,以確保個資可以合理使用。
舉例來說,企業舉辦新產品上市發表會,要求聽眾填寫問卷並留下基本資料,才能參與會後的抽獎活動,根據個資法第8條第1項第2、4、6款,此時在問卷上應該加註的條款為:
您於今日所留下的資料,本公司將自本日起算2年內在台灣地區,做以下目的使用;若您選擇不留下資料,則無機會抽中本公司提供的贈品,並無法收到產品相關資訊:
l 本日發表會抽獎中獎者寄送獎品之用
l 電子報寄送
l 產品市場分析之用
l 寄送新產品訊息(以E-mail或郵件方式寄送)
l 寄送市場調查問卷(以E-mail或郵件方式寄送)
l 寄送產品促銷訊息(以E-mail方式寄送)
|
另外,還得根據個資法第3條及第8條第1項第5款,說明當事人有哪些權利及行使方式:
日後您可於本公司上班時間撥打客服專線0800-XXX-XXX,或E-mail至本公司服務信箱service@xxx.com.tw,對您今日所留下的資料做以下請求:
l 查詢或請求閱覽
l 請求製給複製本
l 請求補充或更正
l 請求停止蒐集、處理或利用
l 請求刪除
|
上述文字只是範例參考,並非絕對標準,企業仍得視自身情況調整,倘若企業有架設官方網站,官網上的隱私政策也要註明個資蒐集的種類及使用方式。
第三、參與建立個資管理制度
個資管理制度是企業遵循法規、做好個資保護的基礎,然而,建立制度代表的就是投入資源、常態編組…等,必須由上而下推動才會成功,因此,法務人員最好強調風險與法律責任,尤其是刑事責任,說服企業管理高層表態支持,並提高個資管理代表層級,以此向員工宣示制度的重要性,從而減少推行時的阻礙。蕭家捷強調,規劃制度時要設法變成paper work,如:進出機房一定要簽名,一來容易落實,二來可以做為訴訟證物,倘若未來面臨個資訴訟,可以提供具體證據而不是只有人證。
第四、建立個資管理程序
對於個資的搜集、處理與利用,新版個資法有很多程序性的規範(表3),像是個資搜集必須符合特定目的、且要經當事人書面同意…等,法務人員要做的是,在企業內部建立符合法規的作業程序,例如當事人要求調閱個資的程序,這種程序性規範文字化、制度化很容易,但卻不容易落實,像前述所提香港PCPD調查的個資爭議,最常見的就是當事人致電客服中心要求停止寄發行銷訊息,但此要求未傳遞到後端,導致企業依然寄送相關訊息,這就是沒有落實刪除程序的結果。BSI總經理蒲樹盛建議,透過訓練和稽核制度來落實,舉例來說,詢問客服人員接到當事人請求刪除的作業程序是什麼?請求調閱的程序是什麼?請個資保管者出示告知聲明/當事人同意書…等。
表3、個資法中的程序性規範
法條
|
說明
|
第2條
|
個資的定義
|
第3條
|
當事人可以行使的權利
|
第6條
|
特種資料的定義,及不得蒐集/處理/利用的例外狀況
|
第8條
|
蒐集個資時該有的告知事項,及例外狀況
|
第9條
|
間接蒐集來的個資,在處理或利用時該有的告知事項,及例外狀況
|
第10條
|
當事人行使查詢、閱覽或製給複製本權利,有哪些狀況可以拒絕
|
第11條
|
依照當事人請求更正或補充個資,及刪除、停止處理或利用個資的狀況
|
第12條
|
違反法規時的通知事項
|
第13條
|
企業受理當事人行使權利,應於規定期限內做出回應
|
第15、19條
|
哪些情況可以蒐集與處理個資(如:符合特定目的、執行法定職務、經當事人書面同意…等)
|
第16、20條
|
哪些情況可以將個資做特定目的外的利用(如:法律明文規定、有利於當事人權益)
|
第17條
|
公務機關應於網站上公開的事項
|
第18條
|
公務機關應指定專人辦理個資安全維護事項
|
資料來源:《資安人》整理,2012/2
第五、主導個資盤點作業
郭戎晉指出,個資盤點的作法通常有兩種:(1)各部門自行盤點,再將結果回報給法務部門;(2)由法務部門負責盤點公司所有個人資料,兩者相比,當然是第1種作法比較好,但這會牽扯到一開始的分工是否清楚,及高層有無充分授權。在一開始成立個資小組的時候,就應該界定參與者的職責分工,把之後可能會有的作業程序及預計完成的時間點講清楚,畢竟各部門參與者都是兼職在處理個資相關的業務,如果一開始沒有說清楚責任範圍,有可能在執行階段以工作忙碌為藉口推拖不願執行,最後就得由法務來做。
蕭家捷認為,企業在做個資盤點時,最重要的工作是拆解個資蒐集、處理及利用流程,並檢視以下事情:(1)蒐集方式、有無法源依據;(2)有無盡到告知義務;(3)利用是否符合特定目的;(4)舊個人資料檔案或是不必要的欄位可否銷毀;(5)個資存放地點、是否有安控機制;(6)依據資料敏感度訂定不同程度的管理方式。
第六、參與採購或評估資安產品
個資盤點完成後,企業得根據盤點結果做風險分析,並找尋適當工具降低法規遵循風險,法令規範與資安工具可說是相輔相成,因此,法務人員也要參與資安設備的採購與評估,找出法規遵循性較佳的資安工具。以前,法務只要知道法條規範就可以,現在則要和IT部門合作,讓IT瞭解法規要求,由IT建議適合採用哪些機制,再由法務人員來評估,看哪一種工具可以做比較好的法規遵循。
不過,法務與IT是兩個截然不同專業領域,兩者要充分溝通其實不容易,除了掌握溝通技巧之外,法務本身最好也能具備基本資安知識,本文參考《資安人》74期「2011資安地圖 拼出全貌再行動」一文,羅列出個資外洩的可能原因,及相對應的安全控制措施,期能做為法務人員跨進資安領域的參考依據。
表2、個資安外洩原因與對應的控制措施
控制措施
|
個資外洩可能原因
|
內部
員工
|
離職
員工
|
合作
廠商
|
設備遺失
或遭竊
|
外部
入侵
|
可攜式儲存媒體控制
|
l
|
|
l
|
l
|
|
資料存取傳輸監控
|
l
|
|
l
|
|
|
系統稽核日誌
|
l
|
l
|
l
|
|
l
|
內部網路存取行為監控
|
l
|
|
|
|
|
權限控管
|
l
|
l
|
l
|
|
|
監控特權系統帳號存取行為
|
l
|
|
l
|
|
|
遠端連線存取管理
|
l
|
l
|
l
|
|
l
|
偵測阻隔異常流量
|
|
l
|
|
|
l
|
機密資料儲存時加密處理
|
|
|
|
l
|
|
強制存取路徑
|
|
|
l
|
|
|
建立即時備援系統
|
|
|
|
l
|
|
偵測並阻斷進行中的惡意行為
|
|
|
|
|
l
|
定期更新管理修正程式
|
|
|
|
|
l
|
資料來源:《資安人》整理,2012/2
第七、參與新產品/新服務的規劃
蕭家捷表示,以前企業若有新產品/新服務準備上市,法務只要參與上市前最後一次的審議會議,確認不會有法律爭議,如今則是在產品/服務開發初期就要參與,檢視新產品或服務是否會搜集個資?是否為合法搜集?該如何納入法規中的程序性規範。
結論
個資法修法通過後,企業關注的焦點都在如何防止個資外洩,許多資安廠商扛著「保護個資」的行銷旗幟大肆宣傳,仿佛只要做好資訊安全,就不必擔心違法風險,殊不知個資法遵循有兩大主軸:落實法律程序、保護個資安全,做好個資保護固然重要,落實法律程序也不能輕忽,面對個資法即將上路,企業應由法務人員主導,建置一套符合個資法規範的管理程序,再由IT人員檢視該採用哪些機制保護個資安全,彼此合作才能真正降低違法風險。