隨著報載新版的「個人資料保護法」(以下簡稱個資法),即將於今年十月一日正式上路,對於還有爭議的法條,不論是採用修法或是暫緩實施的方式,看起來對於個資法的未來有了一個較為明確的方向。一旦個資法正式開始實施之後,個資保護作業能夠落實執行,稽核作業將會是扮演一個重要的環節。也正因為如此,以下將稽核在個資保護下的工作項目提出5個提醒。
提醒1 個資法適用全組織 先確認意義再查核
首先必須釐清,個資法是一部國家的法律,所以任何一項個資保護的日常作業,都不能逾越國家法令的要求。換句話說,也就是所有查核的作業,都是要依照個資法作為一個主要判斷的依據。在以往無論是上市上櫃公司所執行的內控查核,或是為了驗證需要所進行的符合性查核,某些時候都會夾雜著稽核人員一些自我主張的判斷,但是在進行個人資料保護查核時,請務必要先將個資法還有施行細則先熟讀。所謂的熟讀,並非只是將個資法五十六條條文從頭背到尾,而是要將母法條文及施行細則,確實靈活的運用在稽核作業中。
個資法和其他法令不一樣的地方,在於個資法涵蓋的範圍是適用於組織內每一個單位,不像過去的法令,可能僅有少數部門需要遵守,只要把常用的幾種狀況熟悉就可以進行稽核作業。舉例來說在社群網站上按「讚」然後抽獎這種行銷模式,有沒有符合個資法中所謂的個人資料蒐集?或是只有個人的工作職稱及員工編號,這樣算不算直接或間接方式識別當事人的資料?這些都可能在未來查核作業中都會碰到。給稽核人員一個忠告,如果在查核的過程中真的碰到有這些案例,與其稽核人員去辦理大法官的角色去自行解釋法令,不如和法務或其他對個資法熟悉的人員進行討論,先來確認法令上的意義再來進行後面的查核。那麼到底那些個資法的條文對稽核作業有直接的關聯性?表1是公務機關或非公務機關都必須符合的。
表1 與稽核作業相關的個資法條文_公務/非公務機關均須符合
| 條文 |
說明 |
| 第二條 |
個人資料的定義,如果要進行個資查核時,必須要確認所查核的資料是否符合第二條所列有關個資的定義 |
| 第六條 |
特種個資的定義,目前該條是較為爭議的一條,但該條中說明特種個資只有在特定的情況下才可以加以蒐集 |
| 第八條 |
直接蒐集個人資料時所應告知的事項 |
| 第九條 |
間接蒐集個人資料後於處理、利用前所應告知的事項 |
| 第十條 |
當事人應有的權利 |
| 第十一條 |
個人資料的刪除 |
| 第十二條 |
如有發生個資事件時需通知當事人 |
| 第十三條 |
當事人請求查詢、刪除個人資料的處理時限 |
| 第五十一條 |
個資法的排外規定 |
表2 公務機關需遵守的條文
| 條文 |
說明 |
| 第十五條 |
蒐集、處理個人資料的規定 |
| 第十六條 |
利用個人資料的規定 |
| 第十七條 |
公開於電腦網站的事項 |
| 第十八條 |
專人維護個人資料的規定 |
表3 非公務機關須遵守的條文
| 條文 |
說明 |
| 第十九條 |
蒐集、處理個人資料的規定
|
| 第二十條 |
利用個人資料及利用個人資料行銷時的規定 |
| 第二十一條 |
個人資料國際傳輸的規定(視業務狀況決定) |
| 第二十七條 |
安全措施及個人資料安全維護計畫或業務終止後個人資料處理的規 |
提醒2 先判斷是否是個資
簡單的說,在進行個資稽核的時候,首先就是判斷是否屬於個資法所定義的個人資料,同時是不是有屬於個資法的排外規定裡面。舉例來說,親友通訊錄中包括姓名、聯絡電話、電子郵件等資料,這些都是屬於個資法第二條所定義的個人資料。但同時這份親友通訊錄,也是符合第五十一條不適用的範圍內,所以這就不屬於個資法保護的範圍。
提醒3 針對作業流程來查核
如果符合個資法適用的範圍,接下來也就是蒐集、處理、利用都要符合個資法的規範,也就是上面所提到的條文,都必須有相對應的作業程序及規範,同時必須確實照著這個作業程序在執行,就是針對個資稽核的最基本的作業。在查核這些作業程序的時候,除了要確認這些規章制度是否有訂定外,另外個資的稽核作業,強調的是作業流程的查核,所以一定要針對作業流程照著走一次。舉例來說,有些單位會將電腦裏面的個人資料檔案,利用匯出的方式,將檔案資料拿來做其他的用途,那麼這個時候,就必須明瞭這樣子檔案匯出的方式,其實就是個人資料的利用,確認這些個人資料的利用,是不是與當初的蒐集目的相同,同時有遵守到組織內部對於個人資料利用的種種要求。
提醒4 針對個資生命週期來查核
此外,個人資料會隨著作業流程而有流動,個人資料不會無緣無故的產生,更不會憑空消失,所以「個資生命週期」的概念在這邊一樣適用。所謂「個資生命週期」就是除非資料完全的刪除,不然從個資的蒐集、處理、利用,一直到資料的傳送、儲存、銷毀,這整個過程都可能有個資外洩的風險。當實際進行稽核作業的時候,除了看蒐集的過程有沒有符合法令的要求,接下來再來看看這些資料處理、利用的方式。到底資料是紙本的還是電腦檔案(what)? 在那些地方存放這些資料(where)?這些存放的地方是不是有控管?還是任何人都可以取得這些資料(who)?這些資料有沒有傳送到內部或外部的其他單位(where to)?傳送的方式及傳送的管道為何(how)?這些單位是否有權取得這些資料?個人資料最後如何銷毀?是否有提醒大家含有個人資料的紙本文件不能再拿來做回收使用?報廢的硬碟資料是否有加以刪除?光是這些項目,就已經有許多要進行查核了。也正因為如此,在擬定稽核計畫的時候,一定要將這部分查核的時間計算進去,要不然就只能是蜻蜓點水的看一下而已。
提醒5 深入施行細則第九條控制項目
此外,除了個資法本法需要遵守,還有施行細則的部分也是必需要遵守的。雖然現在的施行細則還是持續的修正,但會和稽核作業直接有相關的,就是施行細則的第九條。主要談的內容,就是要建立適當的安全維護措施,簡單的說可以包括了三個層面,分別是人員的管理、資訊安全以及內控作業。依照目前所公佈的草案,這十一項都是必須要做的。所以在執行稽核作業時,除了前面所提到有關法令遵循的部分,施行細則第九條所列的項目都要進行查核,有關這十一條所對應的控制重點,整理如表4。
表4 個資法施行細則第九條控制重點
| 施行細則說明 |
控制重點 |
| 成立管理組織,配置相當資源 ? 是否成立個資保護組織 |
- 是否有定義個資保護組織的工作執掌
- 是否有定義個資保護組織的人員權限
- 個資保護組織是否正常運作
- 是否制定相關的作業程序
- 是否編列個資保護之預算 |
| 界定個人資料的範圍 ? 是否定義需要盤點的個資 |
- 是否定期執行個資盤點
- 確認個資盤點的頻率
- 確認個資盤點的執行方式
- 確認個資盤點的內容 |
| 個人資料之風險評估及管理機制 ? 是否定期執行風險評估作業 |
- 確認風險評估執行的方式
- 是否盤點的個資均有執行風險評估
- 是否列出對應的風險
- 是否列出現有的控制措施
- 是否找出對組織影響最大或優先處理的項目
- 是否訂出處理的優先順序
- 是否訂出處理的完成時間 |
| 事故之預防、通報及應變程序 ? 是否制訂個資事故通報計畫 |
- 是否訂定程序以確保發生個資事故時有通知當事人
- 是否訂定程序以確保當事人有後續查詢及處理的管道
- 是否訂定程序以避免類似事件再次發生
- 是否定義個資事故通報計畫中相關工作職掌
- 是否進行個資事故通報計畫的演練
- 是否針對個資事故演練有加以檢討並且改進 |
| 個人資料蒐集、處理及利用之內部管理程序 ? 個資的蒐集是否符合法令的要求 |
- 是否在蒐集個資前都有依照法令加以告知當事人
- 個人資料蒐集的控管機制是否落實執行
- 個資的處理是否符合法令的需求
- 是否對個人資料有加以分類
- 個資的利用是否符合法令的要求
- 個人資料的蒐集目的是否與利用目的相符
- 個人資料利用的控管機制是否落實執行
- 利用個人資料進行商業行銷是否有符合法令的要求
- 是否有特種個資的蒐集、處理及利用
- 是否有定義敏感性資料的處理程序
- 個人資料如果有共同利用時是否有告知的程序
- 是否有履行當事人權利的相關處理程序
- 是否有特定目的範圍變更的處理程序 |
| 資料安全管理及人員管理 ? 確認人員任用的相關作業程序 |
- 確認人員職務異動的相關作業程序
- 確認電腦系統權限配發作業程序
- 確認系統最高權限控管程序
- 權限配發是否符合最小權限原則
- 是否有共用帳號的情形 |
| 認知宣導及教育訓練 |
- 是否定期執行個資保護的教育訓練 |
| 設備安全管理 |
- 確認門禁管制作業程序
- 確認媒體備份作業程序
- 確認含有個人資料的儲存媒體報廢程序
- 確認定期執行程式修補的作業程序
- 確認硬體定期維修的作業程序 |
| 資料安全稽核機制 |
- 是否定期執行個資保護的稽核作業 |
| 必要之使用記錄、軌跡資料及證據之保存 |
- 確認保留軌跡紀錄的相關作業程序
- 確認軌跡紀錄監控的處理程序 |
| 個人資料安全維護之整體持續改善 |
- 確認個資查核缺失後續追蹤改善之處理程序
- 確認個資異常事故,均有找出問題的原因並加以解決之處理程序
- 確認自行發現有關個資之缺失,均有找出解決方案落實執行之處理程序
- 確認定期檢視現行個資安全維護之處理程序 |
如果在進行個資查核的初期,可以針對上述的控制項目加以修正,就可以變成查核用的工作底稿。至於查核深度的部分,則可能要考慮各單位執行個資保護的情況而加以調整。至於有關委外作業的查核,我們將在下一期再加以說明。
本文作者為個資稽核顧問,任職管理顧問公司