水電物價齊漲,企業經營成本增加,預算也相對被縮減,然而新版個資法即將上路,法規遵循可不能因為預算縮減而打折,面對市場上眾多個資專案,在預算有限的情況下,企業究竟要先做哪一件事?
目前市場上分成兩派看法:顧問服務、解決方案。認為應該先導入顧問服務的理由是,企業在個資分佈都不清楚的狀況下,等於連保護標的在哪裡都不知道,又如何能做好資料保護工作?此時若導入資料保護解決方案,難保不會被資安廠商牽著鼻子走,白白浪費投資成本。因此,透過顧問服務建立一套管理制度,從個資盤點、風險評鑑等程序,找出風險最弱的環節,再據此規劃相對應的個資保護解決方案,並建立蒐集、處理、利用個人資料的標準作業程序,才不會白花錢,甚至能用最少的成本發揮最大的法遵效益。
然而,持應該先導入資料保護解決方案的人卻認為,企業員工是最常接觸資料的人,怎麼可能不知道風險在哪裡?況且建立制度至少要投入好幾個月的時間,然而個資法一旦正式上路就不可能有緩衝期,在個資法上路後到制度建立完成的這段期間內,企業如果發生資料外洩事件,馬上就得面臨商譽與營業損失,甚至是當事人提出的團體訴訟。
麟瑞科技技術經理陳志遠進一步指出,建立制度所要投入的不只是金錢,還包括高層管理者的支持、內部員工全力配合,有時甚至還要進行組織或流程的調整,絕對不是短期內就能完成的事,況且無論導入哪一種管理制度,最終還是要引進資安解決方案,才能達到防制資料外洩的目標,換句話說,企業不會因為建了管理制度就不用導入資安解決方案,與其如此,不如找個有經驗的SI業者,一樣能為企業找出風險所在,據此建議最適當的解決方案,等資料安全防護打下基礎後,再循序漸進地建立個資管理制度。
適法性分析 因應個資法的第一項功課
除了上述兩種看法外,睿明資通首席顧問鍾榮翰還提出不同見解,他認為,無論公務機關或非公務機關最應該要做的第一件事,不是導制度或解決方案,而是適法性分析,了解目前企業運用個資的現況,以及可以利用的法律例外條件,原因在於新版個資法的性質為普通法,倘若其他特別法有關於個人資料蒐集或利用之規定,不論其較新版個資法規定更為嚴格或寬鬆,依特別法優於普通法之法理,自應優先適用各該特別規定。
其實,各個產業都有自身專屬的特別法,如:保險法、大學法、學校衛生法…等,企業應先檢視這些產業特別法規,有沒有與個資蒐集、處理、利用相關的程序規範,若有,那麼蒐集、處理、利用個資就變成依法進行,在非公務機關來說就是執行法定職務(公務機關則是履行法定義務)必要範圍,如此一來,就不一定要按照個資法所要求的程序來做,例如:在某些情況下可能可以免除告知義務、或是可以蒐集某些特種資料。......《未完》
本文刊登於《資安人》雜誌87期,如欲閱讀完整內容請訂閱《資安人》雜誌。