新版個資法預計10月1日正式上路,許多企業在規劃因應措施的同時,首當其衝的問題就是,如何搞懂個資法規範?BSI總經理蒲樹盛在日前舉辦的BSI年會上指出,個資法的許多規範雖然不同於以往,但它其實不難理解,主要重點在於針對3個行為模式做出規範,換句話說,就是規範個資的蒐集、處理、利用3種行為。
在蒐集端要注意的是,要做到告知當事人、符合特定目的、及取得當事人同意,而個資處理須符合的行為規範,則是施行細則草案裡的11項安全維護措施,確保個資在處理過程中的安全性,至於個資利用要注意的則是不能逾越特定目的。此外,在損害賠償規範上則有2種情形,第一種是個資外洩或其他事件,造成當事人權益受損所應擔負的賠償責任,第二種則是不符合主管機關稽核檢查要求可能擔負的罰責。
此外,若個資外洩已成事實,一定要立即告知當事人,告知的內容必須包含2個重點:個資被侵害的事實、企業的處理方式,告知速度不僅要即時,且要確實寄達當事人,如此才能將傷害降到最低。
蒲樹盛強調,個資法雖然有很多原則,但例外情況更多,所以很多狀況不能絕對地說是違反法規,舉例來說,學校將畢業學生的個人資料交給104人力銀行去媒合工作,此行為是否違法?如果在學生手冊裡就能註明此狀況,就不算違反個資法。因此,企業面對個資法不必過於恐慌,只要掌握以上幾個原則,就能妥善因應個資法。
個資法重點摘要表
|
3個行為模式與規範
|
個資蒐集
|
告知、特定目的、當事人同意
|
|
個資處理
|
12項安全維護措施
|
|
個資利用
|
不逾越特定目的
|
|
2個損害賠償規範
|
損害賠償
|
只要有人提出告訴就成立,就有面臨損害賠償的風險
|
|
罰責
|
不符合主管機關檢查/稽核要求而被開罰
|
資料來源:《資安人》整理,2012/8。