自從行政院定出新版個資法的預計上路日後,企業開始正視其重要性、因應法規的需求也愈來愈急迫,然而,個資保護與資訊安全的思考角度不一樣,企業不能只從防制資料外洩角度去規劃個資保護機制。
睿明資通首席顧問鍾榮翰表示,資安可以站在風險管理的角度,去思考如何將資安風險降到最低,甚至當資安事件發生後,還能據此檢討並規劃改善機制,然而,企業個資保護的出發點,多半是為了因應個資法規範。在新法巨額民事賠償的規定下,只要一次的團體訴訟就可能讓企業身敗名裂,而且無論企業有沒有責任,只要團體訴訟一旦成立,就會造成商譽和營業上的衝擊,也因此,企業在規劃個資保護機制時,必須站在「防止團體訴訟成立」的角度去思考。
此外,企業還要關注個資法規範中,任何有可能導致法律責任的法條,尤其是個資的蒐集、處理、利用程序是否合法,不能只從資訊安全的角度,以為只要個資不外洩就可以,因為個資外洩只是侵害當事人權利的一種手法,如果企業有不當蒐集、處理、或利用個人資料的行為,同樣屬於侵害當事人權利。
因此,鍾榮翰建議企業因應個資法的三個步驟,第一步是先做適法性分析,了解現況,以及自身所屬產業法規中,是否有可以應用的法律例外條件,降低為了符合個資法所訂管理程序的作業成本,第二步是個資盤點,描繪出企業的個資分佈狀況,最後才能據此規劃該有的防禦措施。