觀點

多方參考標準 完整企業專屬個資管理計畫

2012 / 05 / 09
編輯部 (資安服務與數位鑑識專刊,2012.4月)
多方參考標準 完整企業專屬個資管理計畫

無論何種標準,都必須融合到企業組織文化中,因此可多方參考,修整運用以找到最適合企業的專屬個資管理法則。

在施行細則公告後收到相當多的建議,法務部法律事務司編審胡美蓁表示,目前正在匯整中,最快可望在12月修正完成並送交行政院,希望2012年新版個資法施行細則能夠正式上路,至於確切的公告時程,行政院希望有完善的配套制度(如:各目的事業主管機關的配套子法…等)後再行推出,預估最快會在2012年5~6月間發佈。

參考現有標準 融合個資法

除了「個人資料檔案安全維護計畫」標準草案可參考以外,隨著個資法實施的日期愈來愈近,企業除了採購資安設備以外,許多企業也都參考相關認證標準,藉以確保自身已善盡管理責任。SGS產品經理何星翰說,目前跟個資法較相關的標準有BS 10012、TPIPAS、JIS-Q-15001:2006…等,其中以BS 10012主要受到企業重視,目前是以金融業詢問度最高。此外,像是ISO 29100也是與個資保護相關的標準,類似資通服務當中與個資安全維護有關的行為規範,不過由於比較缺乏個資搜集/處理/利用程序,和營運面或紙本類個資安全的管理規範,所以比較適合IT服務業、資訊部門,或像是電子商務這種主要是透過網路蒐集個資的產業。

儘管如此,由於BS 10012內含許多英國及歐盟法規要求,所以與台灣個資法還是有落差,以敏感個資的定義為例,個資法定義是醫療、基因、性生活、健康檢查及犯罪前科,但BS 10012卻是種族、宗教、政黨、是否為身心障礙…等,另外就是個資法當中提及的軌跡資料保存、書面同意等方面,BS 10012也無法完全對應。因此,何星翰也建議想導入BS 10012的企業,還是可以搭配個資法要求來做彈性調整,建立企業專屬的個人資料管理系統(PIMS)才夠完整。

從民事賠償因子風險看個資維護事項

日前,由科顧組指導、資策會委託、中華龍網執行的「那些年我們一起蒐集的個資 從個資法施行細則分析民事賠償風險」座談會,會中除了談到施行細則的修正重點,也重申建立新版個資法民事損害賠償因子的重要性。達文西個資暨高科技法律事務所律師郭詠晴指出,根據新版個資法規範,構成民事賠償要件的範圍,遠比一般人想像的更廣,不單單只是個資外洩而已,包括違法蒐集、應告知未告知、應通知未通知、逾期保存或利用個資、未依照當事人請求更正或刪除個資…等,都可能符合構成要件。再加上新法要求企業自負舉證責任、團體訴訟成本低等因素影響,未來企業面對的法規遵循風險相當高。

因此,郭詠晴提出架構民事損害賠償因子的建議,一方面做為企業落實個資保護的具體標準,一方面也可做為法官審理此類案件時的量刑標準。希望可以透過民事損害賠償因子,讓企業知道該如何做好個資保護,才能真正發揮立法目的,創造民眾、企業與法院的三贏局面。

共分成以下10點,主要參考施行細則第九條所訂的11項安全維護措施而來:

1. 管理組織及資源配置:
管理組織-主要是設定好內部評核及個資管理的代表,以便於能夠定期向負責人彙報,此外,該代表也應該制訂、執行、修訂個人資料檔案安全維護計畫的程序。
資源配置-可參考主計處公佈資料,參考資訊人力比、資安設備投入金額與單位的規模比例。
2. 個人資料範圍:
個資盤點-清查個資、機敏等級、儲存使用方式、傳遞媒介與可能會接觸的人;界定範疇建立盤點清冊;固定確認變動;依據個資法保護令,包括主管機關的行政命令。
個資數量-擁有個資筆數越高、越完整,更應投入管理資源與建立起完善保護管理制度。
個資種類-是否符合該產業相關法令,像是保險法的特殊規定;確認是否蒐集處理利用到特種個資。
個資性質-保護義務越高的越應被重視,例如特種個資高於金融帳戶資訊,金融帳戶資訊又高於信用資訊等。
3. 風險評估機制:風險越高則強度越強,例如人事資料的風險評估。建立起風險評估的機制,並且運用經過CVE認證的軟體來進行弱點掃描、盤點等。
4. 事故預防通報及應變機制:建立起程序並留存記錄。
5. 個資內部管理程序:建立起蒐集、利用、刪除或停止等的處理機制;並且訂定公告政策,及設置行使權利,提出申訴、諮詢的聯絡窗口。
6. 資料安全管理及人員管理:
資料安全管理-考慮到個資儲存媒體、資料正確性、電腦系統的處理等。
人員管理-從宣導、教育訓練、置訂管理規範到簽訂保密義務等。
7. 設備安全管理。
8. 資料安全稽核機制及記錄:設定權限控管且定期檢查;確保應留存的記錄均留存。
9. 個資安全維護計畫之整體持續改善:定期檢視法令,並修訂維護計畫;定期檢視計畫的執行、留存記錄;建立計劃改善程序並留存記錄。
10. 認知宣導及教育訓練。

至於企業委外處理個資時,民事損害賠償因子應為下列8點:

1. 挑選委外廠商或合作夥伴時,充分考量其資安能力;
2. 確認所委託蒐集處理利用之個資範圍、類別、特定目的及期間;
3. 確認受託人採取的個資檔案安全維護措施;
4. 有複委託者,確認複委託之對象,及其蒐集處理利用之個資範圍、類別、特定目的及期間;
5. 受託人或其受僱人違反個資保護法令或委託契約時,是否有向委託人通知之程序及確實通知;
6. 委託關係中止或解除時,是否要求受託人返還或銷毀因委託事項交付之個資儲存媒體或紙本,並確認已經刪除;
7. 以適當方式確認受託人具體執行前六點程序,並留存相關記錄以供查驗;
8. 受託人之事故通報程序是否建立且留存相關記錄。