攸關各行各業、從企業到一般民眾的個人資料保護法,母法於2010年5月公佈後,經過一年多的時間,法務部終於在今(2011)年10月27日公布新版個資法施行細則草案。在施行細則尚未公佈前,許多企業對於個資法仍然以不變應萬變,而今細則草案公佈後,後續法務部將彙整各界意見,重新檢視與討論草案內容並定稿,送交行政院審查,至於正式實施期間,則由行政院公告。
施行細則修正重點搶先看
關於施行細則(草案)的修正重點,整理如下:
第一、間接識別個資的定義。
某些個人資料如:手機號碼、金融帳號、身份證字號、E-mail信箱等,可能無法直接看出來當事人是誰,但若企業可以經由資料比對或排列組合的方式,找出當事人的身份,則此資料就屬於可以間接方式識別該個人的資料,同樣得做好保護。舉例來說,公司建有會員資料庫,輸入身份證字號就能查出會員身份,則身份證字號就屬於可間接識別該個人的資料。
第二、修正「刪除」的定義。
刪除不等於銷毀,如果是紙本資料的刪除,只要將資料塗抹掉即可,如果是電子資料的刪除,則是按下Delete鍵就可以。
第三、明定委託人應對受託人為適當的監督。
施行細則第8條談到委外管理的責任,要求委託人應對受託人為適當之監督,在草案中更明確地把監督事項列出來,共有六點:
1. 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其間。
2. 受託人就第九條第二項(個資涵蓋範圍)應採取之必要措施。
3. 有複委託者,其約定之受託人。
4. 受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。
5. 委託人對受託人保留指示之事項。
6. 委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。
過往,多數企業只會在委外合約上載明監督之責,卻未必真的會去做,如今個資法不但把監督事項列出來,更就第一項監督事項,要求委託人應定期確認受託人執行狀況,並將確認結果記錄下來,如此一來,委外監督就不能只是在合約上的文字,而是必須實際執行的工作。
第四、安全維護措施。
參考德國個資法規範,去除善良管理人注意義務,以免日後舉證不易,轉為規定公務機關或非公務機關應採取技術及組織上之必要個資保護措施,而企業投入這些必要措施的成本,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限,但這個比例沒有標準答案,只能由法官適情況決定是否達到適當比例。11項適當安全維護措施內容如下:
(1) 成立管理組織,配置相當資源。
(2) 界定個人資料之範圍。
(3) 個人資料之風險評估及管理機制。
(4) 事故之預防、通報及應變機制。
(5) 個人資料蒐集、處理及利用之內部管理程序。
(6) 資料安全管理及人員管理。
(7) 認知宣導及教育訓練。
(8) 設備安全管理。
(9) 資料安全稽核機制。
(10) 必要之使用紀錄、軌跡資料及證據之保存。
(11) 個人資料安全維護之整體持續改善。
第五、書面的定義。
書面不一定只能是紙本文件,只要內容可以完整呈現、沒有被竄改,並可於日後取出供查驗者,在蒐集者及個資當事人同意下,就可使用電子文件,如:E-mail。
第六、告知的方式。
在新版個資法第8、9、及54條所定的告知,可以書面、電話、傳真、電子文件或其他適當方式為之,企業可自由選擇告知的方式,但重點是要做到個別告知。
第七、資料外洩的通知義務。
倘若發生資料外洩事件,企業應即時通知當事人,這是能否降低損害賠償的關鍵。通知內容應包含事件日期、哪個資料庫、影響筆數等訊息。通知方式可以是電話、信函、傳真、電子文件等,但若耗費過鉅,可以斟酌技術之可行性及當事人隱私之保護,以網路、新聞媒體或其他足以使公眾得知的方式為之。
其他重點包括:個人資料檔案應包含備份檔案與軌跡資料;明確定義何謂公務機關中的指定「專人」辦理安全維護事項,並要求公務機關應辦理或安排專業教育訓練,讓專人具備辦理安全維護事項的能力。
新版個資法施行細則草案將母法中比較模糊或有爭議的條文,做了更清楚的說明,也更加確立了企業的個資保護責任,企業必須用更積極的態度來面對個資法,切莫抱持拖延敷衍心態,要知道個資外洩對企業造成的損失,不只是法律賠償還有商譽,企業商譽一旦有損,要再回復就不容易了,另一方面,有很多企業受到資源限制,即便有心想做好個資保護,卻又不知從何做起,也因此,我們呼籲各目的事項主管機關應儘速制訂配套子法,並加強宣導,輔導中小企業做更好的法規遵循。