隨著新版個人資料保護法(以下簡稱個資法)上路時程愈來愈近,各行各業日益正視新法所帶來的衝擊,對組織及企業(特別是擁有大量個資者)而言,內控管理上的重大變革已勢在必行。
建立個資管理系統 國際標準成為參考指南
企業組織要完全杜絕個資洩露的風險,實務上是相當棘手的巨大挑戰,難如登天。為了鼓勵企業組織正視個資管理並善盡管理責任,個資法其實設計了保護傘的機制,要求公務機關與非公務機關皆須辦理「適當安全維護措施」,既使仍不慎發生個人資料被竊取、竄改、毀損、滅失或洩漏之情事,非公務機關可向法官證明為無故意或無過失行為,盡可能爭取免罰或減輕損害賠償責任。在施行細則草案第九條,明確列出十一項適當安全維護措施如下:
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。
為與國際接軌,法務部在研擬施行細則時,參考兩個其他國家的個資管理標準,分別是英國BS 10012:2009及日本JIS-Q-15001:2006,以PDCA模式架構出「個資管理系統」框架,進而發展出上述十一項適當安全維護措施,希望各企業組織依此架構設計、建置個資管理系統,持續地運作與改善,確實保障已蒐集個資的安全。
上述兩個皆為可驗證的標準,意即可申請公正第三方驗證組織來稽核,通過後可授與證書或標章。因此,目前有些比較積極主動的企業(尤其是金融、電信業者)已開始規劃,導入並申請個資管理標準之驗證,彰顯自身的確已落實個資管理之良善責任。由於JIS-Q-15001:2006驗證機構在日本,台灣企業取得不易,加上台灣很多大型企業皆已導入ISO 27001(前身為BS 7799),制度接軌較容易,使得BS 10012成為市場主流選擇,以金融業為例,已經公告輔導要做的至少就有5家,如:合作金庫、中華郵政…等。
掌握BS 10012在地化差異 強化法規遵循性
筆者曾聽過許多人問一個有意思的問題:「為何台灣的企業及組織,需要申請英國個資管理標準之驗證,這道理我想不透?」的確,這是一個大哉問!其實如果台灣已建立個資管理驗證標準,就不再會有如此難以解釋的問題發生,可惜的是,現行尚未有此相關之CNS國家標準,最接近的算是經濟部商業司主導的臺灣個人資料保護與管理制度(TPIPAS),但目前仍是試辦階段,初期僅針對電子商務產業,尚無法服務至各行各業。
其實BS 10012架構完整,有其可供參考之價值。此標準循PDCA模式進行持續改善,標準中的各項要求,許多皆與個資法規範及施行細則之安全維護事項高度相關,如下表1所示,若能以BS 10012為基礎建置個資管理系統,將能具體呈現十一項適當安全維護措施之落實,有效強化個資保護,應可降低個資事故發生之可能性。
表1、BS 10012與個資法及施行細則高關聯性
個資法施行細則 |
BS 10012 條款編號及內容 |
一、成立管理組織,配置相當資源 |
3.1建立與管理PIMS
3.6資源提供
|
二、界定個人資料之範圍 |
3.2 PIMS的範圍及目標 |
三、個人資料之風險評估及管理機制 |
4.4 風險評鑑 |
四、事故之預防、通報及應變機制 |
4.6通報 |
五、個人資料蒐集、處理及利用之內部管理程序 |
4.7公正與合法的處理
4.8 處理個人資訊的特定目的
4.9 適當、相關及不過度
4.10 正確性
4.11保存及處置
4.12個人權利
5.2管理審查
|
六、資料安全管理及人員管理 |
4.13 安全議題 |
七、認知宣導及教育訓練 |
4.3訓練與認知
3.7將PIMS納入組織文化
|
八、設備安全管理 |
4.13 安全議題 |
九、資料安全稽核機制 |
5.1內部稽核 |
十、必要之使用紀錄、軌跡資料及證據之保存 |
無 |
十一、個人資料安全維護之整體持續改善 |
6改進PIMS |
資料來源:本文作者整理,2012/3。
不過,BS 10012標準仍有部份要求,與中華民國個資法規範不一致,這是企業在導入BS 10012時必須注意的地方:
一、 內含英國資料保護法與歐盟法規,部份要求並不適用:
BS 10012條款4.6「通報」要求,企業組織應遵循英國資料保護法,將個資處理過程之細節通報至資訊專責機構(the Information Commissioner),對照我國個資法並無此項要求。另外BS 10012條款4.14「個人資訊在EEA(歐洲經濟區)外之傳輸」要求,對我國企業組織並不適用。
二、 敏感個資定義不全然相同:
BS 10012定義之敏感個資為種族、政治立場、工會會籍、宗教立場、身心障礙者、性生活及犯罪前科等,而我國個資法定義之特種個資為醫療、基因、健康檢查、性生活及犯罪前科,定義不全然相同,另外,我國個資法明訂若非有特殊原因(即個資法第6條規定的例外事項),特種個資是不得蒐集、處理及利用,反觀BS 10012並無此高強度要求。
三、 部份個資法規範,並未涵蓋於BS 10012標準要求:
我國個資法部份規範,如書面告知、書面同意及軌跡資料保存等,並未涵蓋於BS 10012標準要求中,而上述要求,是目前各行各業最在意且最難實施之重點規範!!如何將法規要求融入至管理制度中,成為企業導入BS 10012的重要課題。舉例來說,BS 10012標準中的條款4.7.1「個人資料的蒐集與處理」中規範,企業組織應於蒐集個資時,向當事人提供「隱私權聲明」(privacy notice),清楚告知蒐集目的、處理過程及當事人權利…等八項訊息,未來企業組織可利用此條款規範,整合個資法書面方式之行使要求,讓當事人更明瞭權利義務及企業責任。另外,有關軌跡資料保存之管理,則可廣義地透過條款4.13「安全議題」來延伸涵蓋,軌跡資料的儲存與保護,及相關資料的存取控制,都是偏資訊安全面的管理領域,協助企業組織在未來舉證責任上,做好更充份的準備。
四、 管理系統標準著重系統有效性,個資法規則強調遵循性:
BS 10012標準著重於管理系統之運作,各企業組織個資風險係數不同,可考量自身面臨之威脅與弱點,來建置內部流程與程序進行控管,實施成熟度因各組織而異;但法規則強調遵循性,尤其個資法第四章至第六章,規範了行政檢查、損害賠償及罰則等,更應為各企業組織特別注意之處,但BS 10012並未著墨此部份。
總而言之,BS 10012標準內含許多要求,與我國個資法規具有高度關聯,確為值得參考的管理基礎,但仍有部份規範未完全涵蓋,企業組織僅憑一張BS 10012驗證通過的證書,是否能證明完全符合我國個資法規之各項要求,對法官心證而言,恐怕仍未具絕對說服力。
個資標準外的選擇:法規遵循性查核服務
為了更完整向法官說明個資法規之遵循性,現行許多專業團體,如法律事務所、驗證公司及顧問公司等,也紛紛推出類似個資法規遵循性查核服務,針對個資法規逐條逐項進行查核,根據查核結果產出報告。這類服務好比替企業進行個資法規健檢,其健檢報告內容,對於法界人士而言比較容易判別遵循性是否為良善狀態,企業組織除了透過BS 10012為基礎建置之個資管理系統來彰顯「適當安全維護措施」之有效性外,未來亦可思考另行採用遵循性查核服務,來補強部份法規未完全涵蓋之處,善盡管理責任。
就筆者觀察市場動態,新版個資法帶來衝擊雖然尚不確定,目前許多企業組織大多採觀望心態,希望視政府行政動作及初期訴訟案例,再來調整個資管理策略。無論策略為何,長期看來個資管理系統是不可或缺的,以下建議個資管理各階段務實性策略,供各企業組織參考:
一、 初期:進行個資教育訓練,了解法規規範,知法後才能避免違法;再者準備進行必要活動,如:個資盤點、風險評鑑等,為後期建置預做準備。
二、 中期:投入必要資源建置個資管理系統是一件艱難任務,在實務判決尚未出爐前,可且戰且走,先進行個資法規遵循性查核服務,透過查核結果了解有多少法規遵循差異,擬定改善計劃,做為下階段具體改善之指引。另外,若法官可接受此查核服務報告可展現良善責任,那企業組織可有效節省投入之成本。
三、 長期:查核報告僅能展現某一時間點,該企業組織在個資法規遵循性上的狀態,至於持續有效性管理之現象,較難於查核報告上呈現,除非企業組織定期實施查核。若法官心證仍希望各企業組織持續維運個資管理系統,則投入必要資源來建置個資管理系統仍為最終目標,藉時再視實際判決之案例,若證書之客觀性具有一定參考價值,則可考慮申請第三方驗證服務。
四、 風險轉移:不可諱言,耳聞有許多企業主不惜鋌而走險,不願花太多時間及人力,進行個資管理系統之建置及維護,希望花錢了事圖個方便,對這些企業組織而言,直接投保個資險,將風險轉移,則是一個不錯的選擇;另外許多大型高個資風險企業,為求多一道保險,也會將個資保險納入整體規劃中。
就筆者近一、兩年多場次個資相關議題說明及課程講授後之心得,許多企業組織代表在了解新版個資法後,心裡產生許多莫名恐懼,更有甚者,直指此法堪稱惡法,將使各企業組織綁手綁腳,對台灣經濟發展產生倒退的巨大影響。其實不需用如此負面心態看待新法,從文明進步的觀點來看,新版個資法不僅符合國際潮流,更完整地保障每個人的隱私權益,另一方面,也兼顧了各行各業合理利用個資的需求,積極鼓勵企業組織正視個資管理之重要性,這兩者價值或有難兩全之處,但盡可能達成平衡基準點,可受社會公評,這才是立法精神之所在。因此,如何投入必要資源,建構個資管理,善盡管理之責,才是企業組織正面看待個資法的因應之道。
本文作者現任職於驗證機構,如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。