新版個資法的查核作業(下)：做好個資保護 切莫輕忽委外查核

在《資安人》87期談到了因應個資法，組織內部查核的幾個重點，這一期則要針對委外事項查核做進一步的探討。目前有越來越多單位將部分業務委外，大到客服中心維運，小到活動贈品寄送，甚至勞退基金計算，都有可能透過委外廠商來處理，也因為這樣的作業需求，使得委外廠商有機會取得個資。

執行委外查核前 先檢視合約有無相關規範

以往對於委外廠商的控管相對而言比較少，但現今則非如此，在新版個資法第四條就提到「受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關」，同時在現行公佈的個資法施行細則草案第八條，也有提到委託人應對受託人為適當之監督，並詳細列出該有的監督項目： 
- 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 
- 受託人就第九條第二項應採取之必要措施。 
- 有複委託者，其約定之受託人。 
- 受託人或其受僱人違反個人資料保護法規或委託契約條款時，應向委託人通知之事項及採行之補救措施。 
- 委託人對受託人保留指示之事項。 
- 委託關係終止或解除時，個人資料載體之返還，及儲存於受託人持有個人資料之刪除。

另外，個資法施行細則草案的第八條也同時指出，委託人應定期確認受託人執行之狀況，並將確認結果記錄之。換句話說，委託人對於受委託單位，不再是簽了合約之後就不管了，必須根據法令規範加以管理，而且所謂的管理，不能只靠口頭上電話瞭解一下狀況就可以了，整個監督過程都要保留相關的佐證資料。

至於這些佐證資料，早期有很多單位對於委外廠商的監督，就是自己設計一份問卷，請委外廠商填完回傳就結案了，但是個資法一旦正式實施，這樣一份簡單的問卷勢必還有調整空間，甚至有必要到現場進行實際查核。

如果要對委外廠商進行查核，首先第一步要做的，就是確認雙方合約中是否有可以進行查核的條款，如果沒有這個項目，那麼後續的這些查核動作可能無法繼續進行，也正因為如此，目前在個資法尚未正式施行之前，各單位可以檢視一下現有的委外合約，檢視項目有兩個，一是委外項目是否包含個資，二是是否具備委外廠商的查核權利。對於可能含有大量個資的委外作業，最好能趁此機會換約或利用增補條文的方式，將委外查核權利明確地列在合約中。

委外查核的3個實務問題

1、委外查核頻率多久做一次？

接下來可能就要對委外廠商進行實際查核，很多人一聽到這件事，馬上會提的第一個問題就是，查核作業多久要執行一次？目前在法律層面上沒有明確規範，個人建議如果是包含大量個資的委外作業，最少一年要執行一次，有些委外廠商甚至需要半年稽核一次。

而這會衍生出另一個問題是，如果單位內有許多作業都含有個資，也都加以委外處理的話，那麼日後的工作量勢必會增加，這部分也是現階段需要加以規畫的。另外一項可以在目前進行的，就是列出委外業務相對的重要性，重要性越高，查核頻率就要越密集。

在執行委外廠商查核時，最好還是事前告知委外廠商，以免挑選對方工作量較大的時間去進行查核。在進行查核的時候，第一步就是要確認是否有再委託的情形，如果有再委託的情形，則要確認是否為合約中所允許，以及再委託的業務範圍究竟到哪裡，這個動作可以在實地現場查核前完成，以便易於訂定查核範圍及計畫。

2、委外查核的重點項目有哪些？

在實際對委外廠商執行查核時，最重要的依據還是個資法、個資法施行細則、以及雙方的合約。如同上述所列，法規所規範的委外監督事項包含第九條第二項，也就是《資安人》87期「新版個資法的查核作業（上）：個資稽核的5個提醒」文中所列的表4-控制重點，委託者必須瞭解受託單位執行這些控制項目的情形。

除此之外，還要了解合約中所列的項目是否都有遵照執行。若發生未遵守合約事項的情形，尤其是違反個資法要求時，是否會回報給委託單位，也就是有沒有相對應的作業程序。

如果有些受託單位的規模不大，沒有足夠資金導入資安解決方案，最起碼要做到執行個資法相關的教育訓練，尤其要特別強調不可以將個人資料拿去做其他用途。教育訓練不一定要在外部參加訓練，由內部人員選擇特定案例做分享也是可行方法，最重要的是讓相關經辦人員知道個資保護的重要性，別小看教育訓練這個動作，有上課有叮嚀還是會不一樣。

3、委外查核從哪裡開始？

之前談過個資生命週期的概念一樣適用在委外單位，如果沒有執行委外查核經驗的人，建議可以從最早接觸到個資的作業環節開始看起。舉例來說，如果透過電腦接收個資檔案，那麼接收檔案以後，會不會有任何的處理動作？那台機器設備可不可以將資料匯出？檔案如何傳送到下一個地方？透過檔案分享或其他方式？傳輸檔案前是否需要先加密？檔案傳送出去後是否會銷毀？有沒有一併刪除電腦中資源回收桶的檔案？檔案有沒有做備份？備份資料存放在何處？一般人是否可以任意取得？有沒有一些個資檔案處理例外的情況？如果有異常情況要如何進行處理？這些問題都是圍繞著個資生命週期在轉，但是如果概念清楚的話，不但可以做好委外查核，相對也能瞭解委外廠商的運作方式。

綜合上面所述，茲將委外單位的簡易查核表滙整如表1所列，此外，有些委外廠商喜歡標榜自己通過某某認證，或是強調已經有外部的定期查核，所以就不需要再接受查核，如果是這種情形的話，委託者要先確認通過的驗證範圍，是不是包含了委託處理的業務，如果沒有包含委託處理的業務，那麼這張認證相對就只能做參考而已。舉例來說，若通過驗證的範圍只有機房門禁系統，那麼其他的資料處理作業還是需要重新檢視，更何況對於委外單位的查核，也都是基於法令要求而執行，並不能因為通過認證而不去監督這些委託單位。

對於委託者來說，委外廠商的管理或稽核作業，相對是過往較為陌生的業務，卻是未來個資法開始施行後的一項重要任務，個資保護要做得好，對於委外管理一定不可以鬆懈。

表1、委外單位查核表