https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

觀點

新版個資法的查核作業(下):做好個資保護 切莫輕忽委外查核

2012 / 11 / 19
謝持恆
新版個資法的查核作業(下):做好個資保護  切莫輕忽委外查核

在《資安人》87期談到了因應個資法,組織內部查核的幾個重點,這一期則要針對委外事項查核做進一步的探討。目前有越來越多單位將部分業務委外,大到客服中心維運,小到活動贈品寄送,甚至勞退基金計算,都有可能透過委外廠商來處理,也因為這樣的作業需求,使得委外廠商有機會取得個資。

 

執行委外查核前 先檢視合約有無相關規範

以往對於委外廠商的控管相對而言比較少,但現今則非如此,在新版個資法第四條就提到「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關」,同時在現行公佈的個資法施行細則草案第八條,也有提到委託人應對受託人為適當之監督,並詳細列出該有的監督項目: 
- 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 
- 受託人就第九條第二項應採取之必要措施。 
- 有複委託者,其約定之受託人。 
- 受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。 
- 委託人對受託人保留指示之事項。 
- 委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。

另外,個資法施行細則草案的第八條也同時指出,委託人應定期確認受託人執行之狀況,並將確認結果記錄之。換句話說,委託人對於受委託單位,不再是簽了合約之後就不管了,必須根據法令規範加以管理,而且所謂的管理,不能只靠口頭上電話瞭解一下狀況就可以了,整個監督過程都要保留相關的佐證資料。

至於這些佐證資料,早期有很多單位對於委外廠商的監督,就是自己設計一份問卷,請委外廠商填完回傳就結案了,但是個資法一旦正式實施,這樣一份簡單的問卷勢必還有調整空間,甚至有必要到現場進行實際查核。

 

如果要對委外廠商進行查核,首先第一步要做的,就是確認雙方合約中是否有可以進行查核的條款,如果沒有這個項目,那麼後續的這些查核動作可能無法繼續進行,也正因為如此,目前在個資法尚未正式施行之前,各單位可以檢視一下現有的委外合約,檢視項目有兩個,一是委外項目是否包含個資,二是是否具備委外廠商的查核權利。對於可能含有大量個資的委外作業,最好能趁此機會換約或利用增補條文的方式,將委外查核權利明確地列在合約中。

 

委外查核的3個實務問題

1、委外查核頻率多久做一次?

接下來可能就要對委外廠商進行實際查核,很多人一聽到這件事,馬上會提的第一個問題就是,查核作業多久要執行一次?目前在法律層面上沒有明確規範,個人建議如果是包含大量個資的委外作業,最少一年要執行一次,有些委外廠商甚至需要半年稽核一次。

而這會衍生出另一個問題是,如果單位內有許多作業都含有個資,也都加以委外處理的話,那麼日後的工作量勢必會增加,這部分也是現階段需要加以規畫的。另外一項可以在目前進行的,就是列出委外業務相對的重要性,重要性越高,查核頻率就要越密集。

在執行委外廠商查核時,最好還是事前告知委外廠商,以免挑選對方工作量較大的時間去進行查核。在進行查核的時候,第一步就是要確認是否有再委託的情形,如果有再委託的情形,則要確認是否為合約中所允許,以及再委託的業務範圍究竟到哪裡,這個動作可以在實地現場查核前完成,以便易於訂定查核範圍及計畫。

2、委外查核的重點項目有哪些?

在實際對委外廠商執行查核時,最重要的依據還是個資法、個資法施行細則、以及雙方的合約。如同上述所列,法規所規範的委外監督事項包含第九條第二項,也就是《資安人》87期「新版個資法的查核作業(上):個資稽核的5個提醒」文中所列的表4-控制重點,委託者必須瞭解受託單位執行這些控制項目的情形。

除此之外,還要了解合約中所列的項目是否都有遵照執行。若發生未遵守合約事項的情形,尤其是違反個資法要求時,是否會回報給委託單位,也就是有沒有相對應的作業程序。

如果有些受託單位的規模不大,沒有足夠資金導入資安解決方案,最起碼要做到執行個資法相關的教育訓練,尤其要特別強調不可以將個人資料拿去做其他用途。教育訓練不一定要在外部參加訓練,由內部人員選擇特定案例做分享也是可行方法,最重要的是讓相關經辦人員知道個資保護的重要性,別小看教育訓練這個動作,有上課有叮嚀還是會不一樣。

 

3、委外查核從哪裡開始?

之前談過個資生命週期的概念一樣適用在委外單位,如果沒有執行委外查核經驗的人,建議可以從最早接觸到個資的作業環節開始看起。舉例來說,如果透過電腦接收個資檔案,那麼接收檔案以後,會不會有任何的處理動作?那台機器設備可不可以將資料匯出?檔案如何傳送到下一個地方?透過檔案分享或其他方式?傳輸檔案前是否需要先加密?檔案傳送出去後是否會銷毀?有沒有一併刪除電腦中資源回收桶的檔案?檔案有沒有做備份?備份資料存放在何處?一般人是否可以任意取得?有沒有一些個資檔案處理例外的情況?如果有異常情況要如何進行處理?這些問題都是圍繞著個資生命週期在轉,但是如果概念清楚的話,不但可以做好委外查核,相對也能瞭解委外廠商的運作方式。

綜合上面所述,茲將委外單位的簡易查核表滙整如表1所列,此外,有些委外廠商喜歡標榜自己通過某某認證,或是強調已經有外部的定期查核,所以就不需要再接受查核,如果是這種情形的話,委託者要先確認通過的驗證範圍,是不是包含了委託處理的業務,如果沒有包含委託處理的業務,那麼這張認證相對就只能做參考而已。舉例來說,若通過驗證的範圍只有機房門禁系統,那麼其他的資料處理作業還是需要重新檢視,更何況對於委外單位的查核,也都是基於法令要求而執行,並不能因為通過認證而不去監督這些委託單位。

對於委託者來說,委外廠商的管理或稽核作業,相對是過往較為陌生的業務,卻是未來個資法開始施行後的一項重要任務,個資保護要做得好,對於委外管理一定不可以鬆懈。

表1、委外單位查核表

編號

查核項目

說明

1

確認雙方書面文件中所記載委託人與受託人之責任

2

是否受託人已遵守契約文件之內容

(1)   內容


(2)   週期

3

是否受託人已遵守契約文件之內容

4

確認未遵守契約內容時的措施

5

確認未遵守契約內容時的措施

6

確認受託單位之教育訓練

7

確認受託單位之個資安全維護事項執行狀況

8

確認個資接收的管道與後續個資傳送的途徑

資料來源:本文作者整理,2012/7