新版個資法即將上路,如何協助企業因應新法,各目的事業主管機關都有不同作法,日前,經濟部工業局資通安全產業推動計畫舉辦「個資保護推廣說明會」,針對線上遊戲及相關產業,提供因應個資法的實務作法,並開放10個免費名額進行適法性查檢服務。
會中,TUViT亞太區協理黃廷弘指出,適法性分析是企業因應個資法的第一步,去(2011)年11月曾經對國內幾家大型的電子商務業者進行適法性分析,平均58%的業者不符合法規要求,進一步細究原因,大部份都不是沒有導入相關機制,而是企業誤以為自身已經合法,實際上卻非如此。
舉例來說:法條中的告知事項有6點,但企業可能只告知了其中4點,就覺得可以了;另外,新法規定在蒐集個資時,應該告知當事人機關名稱,但有些經營網路服務的企業,告知的卻是提供服務的網站名稱;又如,有些線上遊戲業者允許玩家使用Open ID登入遊戲,如:FB、Gmail帳號…等,這屬於間接蒐集個資的一種,但企業卻常常忽略,導致沒有遵循個資法第9條相關規範。
另外,對多數企業來說,個資法是一部全新的法律,如何透過教育訓練讓員工了解法律規範,也是一件很重要的事,黃廷弘建議,不要做單一式的教育訓練,必須針對職務別來規劃不同的課程內容。例如:
(1) 管理階層:應該從管理面去瞭解法規遵循,像是違法風險(VS.預算支出比例)、如何善盡管理責任、需要的控管點、如何建立相關組織…等;
(2) 業務階層:應該要從實作面去瞭解,怎麼做才不會違法。如:蒐集/利用資料的合法性,作業流程是否符合法律要求…等;
(3) 資訊執行:如何利用IT技術符合法規要求。
面對個資法,最基本的是做好法律要求,這是法規上路後最立即會發生的風險,當建立好合法程序後,企業才能談如何落實資料保護、降低外洩風險。