https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

新版個資法的查核作業(上):個資稽核的5個提醒

2012 / 11 / 19
謝持恆
新版個資法的查核作業(上):個資稽核的5個提醒

隨著報載新版的「個人資料保護法」(以下簡稱個資法),即將於今年十月一日正式上路,對於還有爭議的法條,不論是採用修法或是暫緩實施的方式,看起來對於個資法的未來有了一個較為明確的方向。一旦個資法正式開始實施之後,個資保護作業能夠落實執行,稽核作業將會是扮演一個重要的環節。也正因為如此,以下將稽核在個資保護下的工作項目提出5個提醒。

 

提醒1 個資法適用全組織 先確認意義再查核

 

首先必須釐清,個資法是一部國家的法律,所以任何一項個資保護的日常作業,都不能逾越國家法令的要求。換句話說,也就是所有查核的作業,都是要依照個資法作為一個主要判斷的依據。在以往無論是上市上櫃公司所執行的內控查核,或是為了驗證需要所進行的符合性查核,某些時候都會夾雜著稽核人員一些自我主張的判斷,但是在進行個人資料保護查核時,請務必要先將個資法還有施行細則先熟讀。所謂的熟讀,並非只是將個資法五十六條條文從頭背到尾,而是要將母法條文及施行細則,確實靈活的運用在稽核作業中。

 

個資法和其他法令不一樣的地方,在於個資法涵蓋的範圍是適用於組織內每一個單位,不像過去的法令,可能僅有少數部門需要遵守,只要把常用的幾種狀況熟悉就可以進行稽核作業。舉例來說在社群網站上按「讚」然後抽獎這種行銷模式,有沒有符合個資法中所謂的個人資料蒐集?或是只有個人的工作職稱及員工編號,這樣算不算直接或間接方式識別當事人的資料?這些都可能在未來查核作業中都會碰到。給稽核人員一個忠告,如果在查核的過程中真的碰到有這些案例,與其稽核人員去辦理大法官的角色去自行解釋法令,不如和法務或其他對個資法熟悉的人員進行討論,先來確認法令上的意義再來進行後面的查核。那麼到底那些個資法的條文對稽核作業有直接的關聯性?表1是公務機關或非公務機關都必須符合的。

 

表1 與稽核作業相關的個資法條文_公務/非公務機關均須符合

條文 說明
第二條 個人資料的定義,如果要進行個資查核時,必須要確認所查核的資料是否符合第二條所列有關個資的定義
第六條 特種個資的定義,目前該條是較為爭議的一條,但該條中說明特種個資只有在特定的情況下才可以加以蒐集
第八條 直接蒐集個人資料時所應告知的事項
第九條 間接蒐集個人資料後於處理、利用前所應告知的事項
第十條 當事人應有的權利
第十一條 個人資料的刪除
第十二條 如有發生個資事件時需通知當事人
第十三條 當事人請求查詢、刪除個人資料的處理時限
第五十一條 個資法的排外規定


 

 

表2 公務機關需遵守的條文

條文 說明
第十五條 蒐集、處理個人資料的規定
第十六條 利用個人資料的規定
第十七條 公開於電腦網站的事項
第十八條 專人維護個人資料的規定

 

 

表3 非公務機關須遵守的條文

條文 說明
第十九條 蒐集、處理個人資料的規定
第二十條 利用個人資料及利用個人資料行銷時的規定
第二十一條 個人資料國際傳輸的規定(視業務狀況決定)
第二十七條 安全措施及個人資料安全維護計畫或業務終止後個人資料處理的規


 

 提醒2 先判斷是否是個資

 

簡單的說,在進行個資稽核的時候,首先就是判斷是否屬於個資法所定義的個人資料,同時是不是有屬於個資法的排外規定裡面。舉例來說,親友通訊錄中包括姓名、聯絡電話、電子郵件等資料,這些都是屬於個資法第二條所定義的個人資料。但同時這份親友通訊錄,也是符合第五十一條不適用的範圍內,所以這就不屬於個資法保護的範圍。

 

提醒3 針對作業流程來查核

 

如果符合個資法適用的範圍,接下來也就是蒐集、處理、利用都要符合個資法的規範,也就是上面所提到的條文,都必須有相對應的作業程序及規範,同時必須確實照著這個作業程序在執行,就是針對個資稽核的最基本的作業。在查核這些作業程序的時候,除了要確認這些規章制度是否有訂定外,另外個資的稽核作業,強調的是作業流程的查核,所以一定要針對作業流程照著走一次。舉例來說,有些單位會將電腦裏面的個人資料檔案,利用匯出的方式,將檔案資料拿來做其他的用途,那麼這個時候,就必須明瞭這樣子檔案匯出的方式,其實就是個人資料的利用,確認這些個人資料的利用,是不是與當初的蒐集目的相同,同時有遵守到組織內部對於個人資料利用的種種要求。

 

提醒4 針對個資生命週期來查核

 

此外,個人資料會隨著作業流程而有流動,個人資料不會無緣無故的產生,更不會憑空消失,所以「個資生命週期」的概念在這邊一樣適用。所謂「個資生命週期」就是除非資料完全的刪除,不然從個資的蒐集、處理、利用,一直到資料的傳送、儲存、銷毀,這整個過程都可能有個資外洩的風險。當實際進行稽核作業的時候,除了看蒐集的過程有沒有符合法令的要求,接下來再來看看這些資料處理、利用的方式。到底資料是紙本的還是電腦檔案(what)? 在那些地方存放這些資料(where)?這些存放的地方是不是有控管?還是任何人都可以取得這些資料(who)?這些資料有沒有傳送到內部或外部的其他單位(where to)?傳送的方式及傳送的管道為何(how)?這些單位是否有權取得這些資料?個人資料最後如何銷毀?是否有提醒大家含有個人資料的紙本文件不能再拿來做回收使用?報廢的硬碟資料是否有加以刪除?光是這些項目,就已經有許多要進行查核了。也正因為如此,在擬定稽核計畫的時候,一定要將這部分查核的時間計算進去,要不然就只能是蜻蜓點水的看一下而已。

 

提醒5 深入施行細則第九條控制項目

 

此外,除了個資法本法需要遵守,還有施行細則的部分也是必需要遵守的。雖然現在的施行細則還是持續的修正,但會和稽核作業直接有相關的,就是施行細則的第九條。主要談的內容,就是要建立適當的安全維護措施,簡單的說可以包括了三個層面,分別是人員的管理、資訊安全以及內控作業。依照目前所公佈的草案,這十一項都是必須要做的。所以在執行稽核作業時,除了前面所提到有關法令遵循的部分,施行細則第九條所列的項目都要進行查核,有關這十一條所對應的控制重點,整理如表4。

 

表4 個資法施行細則第九條控制重點

施行細則說明 控制重點
成立管理組織,配置相當資源 ? 是否成立個資保護組織 - 是否有定義個資保護組織的工作執掌 
- 是否有定義個資保護組織的人員權限 
- 個資保護組織是否正常運作 
- 是否制定相關的作業程序 
- 是否編列個資保護之預算
界定個人資料的範圍 ? 是否定義需要盤點的個資 - 是否定期執行個資盤點 
- 確認個資盤點的頻率 
- 確認個資盤點的執行方式 
- 確認個資盤點的內容
個人資料之風險評估及管理機制 ? 是否定期執行風險評估作業 - 確認風險評估執行的方式 
- 是否盤點的個資均有執行風險評估 
- 是否列出對應的風險 
- 是否列出現有的控制措施 
- 是否找出對組織影響最大或優先處理的項目 
- 是否訂出處理的優先順序 
- 是否訂出處理的完成時間
事故之預防、通報及應變程序 ? 是否制訂個資事故通報計畫 - 是否訂定程序以確保發生個資事故時有通知當事人 
- 是否訂定程序以確保當事人有後續查詢及處理的管道 
- 是否訂定程序以避免類似事件再次發生 
- 是否定義個資事故通報計畫中相關工作職掌 
- 是否進行個資事故通報計畫的演練 
- 是否針對個資事故演練有加以檢討並且改進
個人資料蒐集、處理及利用之內部管理程序 ? 個資的蒐集是否符合法令的要求 - 是否在蒐集個資前都有依照法令加以告知當事人 
- 個人資料蒐集的控管機制是否落實執行 
- 個資的處理是否符合法令的需求 
- 是否對個人資料有加以分類 
- 個資的利用是否符合法令的要求 
- 個人資料的蒐集目的是否與利用目的相符 
- 個人資料利用的控管機制是否落實執行 
- 利用個人資料進行商業行銷是否有符合法令的要求 
- 是否有特種個資的蒐集、處理及利用 
- 是否有定義敏感性資料的處理程序 
- 個人資料如果有共同利用時是否有告知的程序 
- 是否有履行當事人權利的相關處理程序 
- 是否有特定目的範圍變更的處理程序
資料安全管理及人員管理 ? 確認人員任用的相關作業程序 - 確認人員職務異動的相關作業程序 
- 確認電腦系統權限配發作業程序 
- 確認系統最高權限控管程序 
- 權限配發是否符合最小權限原則 
- 是否有共用帳號的情形
認知宣導及教育訓練 - 是否定期執行個資保護的教育訓練
設備安全管理 - 確認門禁管制作業程序 
- 確認媒體備份作業程序 
- 確認含有個人資料的儲存媒體報廢程序 
- 確認定期執行程式修補的作業程序 
- 確認硬體定期維修的作業程序
資料安全稽核機制 - 是否定期執行個資保護的稽核作業
必要之使用記錄、軌跡資料及證據之保存 - 確認保留軌跡紀錄的相關作業程序 
- 確認軌跡紀錄監控的處理程序
個人資料安全維護之整體持續改善 - 確認個資查核缺失後續追蹤改善之處理程序 
- 確認個資異常事故,均有找出問題的原因並加以解決之處理程序 
- 確認自行發現有關個資之缺失,均有找出解決方案落實執行之處理程序 
- 確認定期檢視現行個資安全維護之處理程序

 

 

如果在進行個資查核的初期,可以針對上述的控制項目加以修正,就可以變成查核用的工作底稿。至於查核深度的部分,則可能要考慮各單位執行個資保護的情況而加以調整。至於有關委外作業的查核,我們將在下一期再加以說明。

本文作者為個資稽核顧問,任職管理顧問公司