剛進公司,便聽程式開發部門的同仁提起,有間做app開發工具的廠商要來拜訪我們,順便談談有沒有合作空間,就這樣跟著部門同事一起出席這場會議。一進會議室,才發現對方真是大陣仗,不但董事長親自出馬,業務、技術人員全部到齊,簡報結束時,部門同事提出了他的疑問。
「請問你們對於個資保護有什麼做法?」「個資保護喔!」董事長停了一下繼續說,「如果你要蒐集電話的話,這對我們來說是非常容易的技術,只是沒有寫在程式裡面,這就是我們保護個資的方法。」「但這樣還是很容易蒐集到個人資料,不曉得你們有沒有什麼具體做法,不然未來新版個資法開始實施的時候,就很容易觸犯法律。」「你說具體做法是不是指內控?內控是很重要沒錯,要我寫幾千條都沒有問題,但寫再多還不是一樣會外洩個資,那只是用來好看的、不是重點。我這人向來講話很誠實,我就說現在沒有蒐集,還要我們怎麼做?」
聽到這裡,已經有些許火藥味出來了,部門同事又補了一句,「這不是蒐不蒐集的問題,在新的個資法施行細則中也列出受託單位的管理事項,我們當然要瞭解你們對個資保護的承諾,不然我們也有可能違法。」「承諾!我董事長在這邊說的話就是承諾,東西做好最重要,至於你們所擔心的,反正公司是我的,了不起罰錢就是了,難道還要把我關進大牢?!」
看來這家廠商和我們合作的機會似乎微乎其微,不論技術能力如何,整個對內控、個資保護的看法就令人不敢恭維,這也不禁讓人懷疑,還有多少人抱持著只要不販賣資料就不會違法的心態。面對個資法,為什麼大家還抱持著觀望態度?是根本不知道個資法已經修正,還是如同賭徒般,反正運氣不會那麼差,就算罰錢也罰不了多少。這些政策宣導的工作應該由誰來做?難道是我們這些業者要負教育委外廠商的責任?此外,個資法一旦正式上路,從事資安、個資保護的人員,對於新科技的發展,需要有更高的敏感度,要逐漸從技術著眼點移轉到應用層面,畢竟一旦發生個資外洩的事件,每一方都是輸家。