因應個資法的第一步：適法性分析

水電物價齊漲，企業經營成本增加，預算也相對被縮減，然而新版個資法即將上路，法規遵循可不能因為預算縮減而打折，面對市場上眾多個資專案，在預算有限的情況下，企業究竟要先做哪一件事？

目前市場上分成兩派看法：顧問服務、解決方案。認為應該先導入顧問服務的理由是，企業在個資分佈都不清楚的狀況下，等於連保護標的在哪裡都不知道，又如何能做好資料保護工作？此時若導入資料保護解決方案，難保不會被資安廠商牽著鼻子走，白白浪費投資成本。因此，透過顧問服務建立一套管理制度，從個資盤點、風險評鑑等程序，找出風險最弱的環節，再據此規劃相對應的個資保護解決方案，並建立蒐集、處理、利用個人資料的標準作業程序，才不會白花錢，甚至能用最少的成本發揮最大的法遵效益。

然而，持應該先導入資料保護解決方案的人卻認為，企業員工是最常接觸資料的人，怎麼可能不知道風險在哪裡？況且建立制度至少要投入好幾個月的時間，然而個資法一旦正式上路就不可能有緩衝期，在個資法上路後到制度建立完成的這段期間內，企業如果發生資料外洩事件，馬上就得面臨商譽與營業損失，甚至是當事人提出的團體訴訟。

麟瑞科技技術經理陳志遠進一步指出，建立制度所要投入的不只是金錢，還包括高層管理者的支持、內部員工全力配合，有時甚至還要進行組織或流程的調整，絕對不是短期內就能完成的事，況且無論導入哪一種管理制度，最終還是要引進資安解決方案，才能達到防制資料外洩的目標，換句話說，企業不會因為建了管理制度就不用導入資安解決方案，與其如此，不如找個有經驗的SI業者，一樣能為企業找出風險所在，據此建議最適當的解決方案，等資料安全防護打下基礎後，再循序漸進地建立個資管理制度。

適法性分析 因應個資法的第一項功課

除了上述兩種看法外，睿明資通首席顧問鍾榮翰還提出不同見解，他認為，無論公務機關或非公務機關最應該要做的第一件事，不是導制度或解決方案，而是適法性分析，了解目前企業運用個資的現況，以及可以利用的法律例外條件，原因在於新版個資法的性質為普通法，倘若其他特別法有關於個人資料蒐集或利用之規定，不論其較新版個資法規定更為嚴格或寬鬆，依特別法優於普通法之法理，自應優先適用各該特別規定。

其實，各個產業都有自身專屬的特別法，如：保險法、大學法、學校衛生法…等，企業應先檢視這些產業特別法規，有沒有與個資蒐集、處理、利用相關的程序規範，若有，那麼蒐集、處理、利用個資就變成依法進行，在非公務機關來說就是執行法定職務（公務機關則是履行法定義務）必要範圍，如此一來，就不一定要按照個資法所要求的程序來做，例如：在某些情況下可能可以免除告知義務、或是可以蒐集某些特種資料。......《未完》