https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

因應個資法系列(6) 法務把關 個資管理跟著法規走

2012 / 04 / 16
廖珮君
因應個資法系列(6) 法務把關  個資管理跟著法規走

大選剛結束,新內閣對個資法的高度關注,促使法務部將上路目標訂在201271,其中窒礙難行的部份則考量以加強宣導、修法或暫緩執行等策略,如此明確的時間表,讓原本漸趨於平靜的討論聲浪,又再度熱烈起來,企業不再將「因應個資法」當作口號,而是認真思考該做哪些事,部份金融業還公開招標表示要導入個資法相關的管理制度。

 

然而,從這些已經啟動因應個資法專案的企業或組織來看,很多是由IT人員擔任主導者,或許是因為個資法立法精神在於做好個資保護、維護資料安全,使得企業容易將個資保護與IT畫上等號,卻忽略法規遵循不單只是資安問題。

 

不過,金融業是少數的例外。在一場銀行同業的內部會議中,與會11家銀行皆表示,個資因應計劃主導者不是IT部門,而是法務、業務、策略、風管等單位,原因在於2011年接連爆出紙本資料外洩的新聞事件,加上銀行內部已先舉辦個資法相關的教育訓練,使得高層主管認知到「個資保護不僅僅是IT責任」,才會交由IT以外的單位負責。

 

益思科技法律事務所律師蕭家捷表示,資安工作沒有做好,固然可能導致個人資料有不當利用、外洩或遭竊等情事,但就算落實資訊安全工作,也不代表已經遵守個人資料保護法的規範,如果企業在個資搜集、處理與利用階段,沒有遵循新法內的程序性規範,一樣有違法風險。

 

舉例來說,某企業擬聘雇保全人員,並要求應徵者提供良民證及健康檢查報告,這樣的行為屬於蒐集特種個人資料,必須遵守個資法裡的程序性規範,也就是不能蒐集,但卻與資訊安全無關,不管企業採購再多、再好的資安設備,也無法解決個人資料保護法遵循的問題。

 

香港個人資料私隱專員公署(以下簡稱PCPD1997年至2011年共出版了23份調查報告(表1),用以說明自身所接獲民眾投訴企業侵犯個資案件的調查狀況,其中投訴比例最高的原因,是企業沒有取得當事人同意,就將個資做為蒐集目的外的利用(如:提供給第三方機構做行銷),或因內部作業流程失誤,未依照個資當事人的請求刪除個資。

 

1、香港民眾投訴企業侵犯個資的原因

投訴原因

家數

在沒有取得當事人同意下,將個資用於搜集目地以外的用途,或提供給第三方機構

10

未依照當事人請求查閱、更正或刪除個資,或要求當事人必須付費才能行使請求權

4

蒐集過多個人資料

3

以針孔攝影機不當搜集個資

2

個人資料外洩事件

2

個資保留期間太長未適時刪除

1

沒有確保個資正確性,以致當事人權益受損

1

資料來源:香港個人資料私隱專員公署調查報告,《資安人》整理,2012/2

 

由香港經驗來看,個資法裡的程序性規範顯然容易被企業忽略,因此,比較理想的作法是由法務人員主導,先協助落實個資法中各種程序性規定,再由IT人員針對個資安全維護提供專業建議,透過法務與IT協助合作,才能提高企業法規遵循程度。

 

 

個資事件前、法務人員的工作職掌

究竟,個資法通過後,企業法務人員的工作職掌會有哪些改變?如果以個資事件(含權利行使、個資外洩等狀況)為分水嶺,事件發生後,首要做的就是事件因應處理,倘若遇到訴訟案件,還要進一步協助舉證,證實企業已盡到善良管理人責任,至於哪些資料或文件可以做為舉證證物,《資安人》83期「面臨個資訴訟 企業該如何舉證」有深入說明。

 

回到事件發生前來看,法務人員的工作主要為以下七點。

 

第一、推動內部個資教育訓練

個人資料使用遍及企業各個部門,包括人事、行銷、業務、客服、資訊等部門都有機會接觸個人資料,因此,法務人員不只要了解個資法規範,還要擔任種子教師,負責內部訓練、法令宣導,讓全體員工明白個資法的重要性,並將法規遵循化為日常營運流程,才能避免發生違法事件。

 

第二、修改契約、審議條款

檢視企業現有契約中哪些與個人資料有關,並重新撰擬相關條款,通常分成兩種,第一種是針對消費者而訂的契約,如:使用者契約、會員服務條款、網站使用條款,資策會科技法律研究所組長郭戎晉表示,此類契約要增加的條款以告知事項、隱私權聲明、當事人權利行使機制等為主,第二種則是與合作廠商訂定的委外契約,可參考個資法施行細則第8條所訂的委託人監督責任,將相關機制或要求融入在契約中,無論任何一種商業行為,只要有可能涉及個資的使用,就要增列相關文字,以確保個資可以合理使用。

 

舉例來說,企業舉辦新產品上市發表會,要求聽眾填寫問卷並留下基本資料,才能參與會後的抽獎活動,根據個資法第8條第1項第246款,此時在問卷上應該加註的條款為:

您於今日所留下的資料,本公司將自本日起算2年內在台灣地區,做以下目的使用;若您選擇不留下資料,則無機會抽中本公司提供的贈品,並無法收到產品相關資訊:

l     本日發表會抽獎中獎者寄送獎品之用

l     電子報寄送

l     產品市場分析之用

l     寄送新產品訊息(以E-mail或郵件方式寄送)

l     寄送市場調查問卷(以E-mail或郵件方式寄送)

l     寄送產品促銷訊息(以E-mail方式寄送)

 

另外,還得根據個資法第3條及第8條第1項第5款,說明當事人有哪些權利及行使方式:

日後您可於本公司上班時間撥打客服專線0800-XXX-XXX,或E-mail至本公司服務信箱service@xxx.com.tw,對您今日所留下的資料做以下請求:

l    查詢或請求閱覽

l    請求製給複製本

l    請求補充或更正

l    請求停止蒐集、處理或利用

l    請求刪除

 

上述文字只是範例參考,並非絕對標準,企業仍得視自身情況調整,倘若企業有架設官方網站,官網上的隱私政策也要註明個資蒐集的種類及使用方式。

 

 

第三、參與建立個資管理制度

個資管理制度是企業遵循法規、做好個資保護的基礎,然而,建立制度代表的就是投入資源、常態編組等,必須由上而下推動才會成功,因此,法務人員最好強調風險與法律責任,尤其是刑事責任,說服企業管理高層表態支持,並提高個資管理代表層級,以此向員工宣示制度的重要性,從而減少推行時的阻礙。蕭家捷強調,規劃制度時要設法變成paper work,如:進出機房一定要簽名,一來容易落實,二來可以做為訴訟證物,倘若未來面臨個資訴訟,可以提供具體證據而不是只有人證。

 

第四、建立個資管理程序

對於個資的搜集、處理與利用,新版個資法有很多程序性的規範(表3),像是個資搜集必須符合特定目的、且要經當事人書面同意等,法務人員要做的是,在企業內部建立符合法規的作業程序,例如當事人要求調閱個資的程序,這種程序性規範文字化、制度化很容易,但卻不容易落實,像前述所提香港PCPD調查的個資爭議,最常見的就是當事人致電客服中心要求停止寄發行銷訊息,但此要求未傳遞到後端,導致企業依然寄送相關訊息,這就是沒有落實刪除程序的結果。BSI總經理蒲樹盛建議,透過訓練和稽核制度來落實,舉例來說,詢問客服人員接到當事人請求刪除的作業程序是什麼?請求調閱的程序是什麼?請個資保管者出示告知聲明/當事人同意書等。

 

3、個資法中的程序性規範

法條

說明

2

個資的定義

3

當事人可以行使的權利

6

特種資料的定義,及不得蒐集/處理/利用的例外狀況

8

蒐集個資時該有的告知事項,及例外狀況

9

間接蒐集來的個資,在處理或利用時該有的告知事項,及例外狀況

10

當事人行使查詢、閱覽或製給複製本權利,有哪些狀況可以拒絕

11

依照當事人請求更正或補充個資,及刪除、停止處理或利用個資的狀況

12

違反法規時的通知事項

13

企業受理當事人行使權利,應於規定期限內做出回應

1519

哪些情況可以蒐集與處理個資(如:符合特定目的、執行法定職務、經當事人書面同意等)

1620

哪些情況可以將個資做特定目的外的利用(如:法律明文規定、有利於當事人權益)

17

公務機關應於網站上公開的事項

18

公務機關應指定專人辦理個資安全維護事項

資料來源:《資安人》整理,2012/2

 

第五、主導個資盤點作業

郭戎晉指出,個資盤點的作法通常有兩種:(1)各部門自行盤點,再將結果回報給法務部門;(2)由法務部門負責盤點公司所有個人資料,兩者相比,當然是第1種作法比較好,但這會牽扯到一開始的分工是否清楚,及高層有無充分授權。在一開始成立個資小組的時候,就應該界定參與者的職責分工,把之後可能會有的作業程序及預計完成的時間點講清楚,畢竟各部門參與者都是兼職在處理個資相關的業務,如果一開始沒有說清楚責任範圍,有可能在執行階段以工作忙碌為藉口推拖不願執行,最後就得由法務來做。

 

蕭家捷認為,企業在做個資盤點時,最重要的工作是拆解個資蒐集、處理及利用流程,並檢視以下事情:(1)蒐集方式、有無法源依據;(2)有無盡到告知義務;(3)利用是否符合特定目的;(4)舊個人資料檔案或是不必要的欄位可否銷毀;(5)個資存放地點、是否有安控機制;(6)依據資料敏感度訂定不同程度的管理方式。

 

 

第六、參與採購或評估資安產品

個資盤點完成後,企業得根據盤點結果做風險分析,並找尋適當工具降低法規遵循風險,法令規範與資安工具可說是相輔相成,因此,法務人員也要參與資安設備的採購與評估,找出法規遵循性較佳的資安工具。以前,法務只要知道法條規範就可以,現在則要和IT部門合作,讓IT瞭解法規要求,由IT建議適合採用哪些機制,再由法務人員來評估,看哪一種工具可以做比較好的法規遵循。

 

不過,法務與IT是兩個截然不同專業領域,兩者要充分溝通其實不容易,除了掌握溝通技巧之外,法務本身最好也能具備基本資安知識,本文參考《資安人》74期「2011資安地圖 拼出全貌再行動」一文,羅列出個資外洩的可能原因,及相對應的安全控制措施,期能做為法務人員跨進資安領域的參考依據。

 

2、個資安外洩原因與對應的控制措施

控制措施

個資外洩可能原因

內部

員工

離職

員工

合作

廠商

設備遺失

或遭竊

外部

入侵

可攜式儲存媒體控制

l

 

l

l

 

資料存取傳輸監控

l

 

l

 

 

系統稽核日誌

l

l

l

 

l

內部網路存取行為監控

l

 

 

 

 

權限控管

l

l

l

 

 

監控特權系統帳號存取行為

l

 

l

 

 

遠端連線存取管理

l

l

l

 

l

偵測阻隔異常流量

 

l

 

 

l

機密資料儲存時加密處理

 

 

 

l

 

強制存取路徑

 

 

l

 

 

建立即時備援系統

 

 

 

l

 

偵測並阻斷進行中的惡意行為

 

 

 

 

l

定期更新管理修正程式

 

 

 

 

l

資料來源:《資安人》整理,2012/2

 

第七、參與新產品/新服務的規劃

蕭家捷表示,以前企業若有新產品/新服務準備上市,法務只要參與上市前最後一次的審議會議,確認不會有法律爭議,如今則是在產品/服務開發初期就要參與,檢視新產品或服務是否會搜集個資?是否為合法搜集?該如何納入法規中的程序性規範。

 

結論

個資法修法通過後,企業關注的焦點都在如何防止個資外洩,許多資安廠商扛著「保護個資」的行銷旗幟大肆宣傳,仿佛只要做好資訊安全,就不必擔心違法風險,殊不知個資法遵循有兩大主軸:落實法律程序、保護個資安全,做好個資保護固然重要,落實法律程序也不能輕忽,面對個資法即將上路,企業應由法務人員主導,建置一套符合個資法規範的管理程序,再由IT人員檢視該採用哪些機制保護個資安全,彼此合作才能真正降低違法風險。