https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

導入個資標準BS 10012 需補強在地化差異

2012 / 09 / 04
何星翰
導入個資標準BS 10012  需補強在地化差異

隨著新版個人資料保護法(以下簡稱個資法)上路時程愈來愈近,各行各業日益正視新法所帶來的衝擊,對組織及企業(特別是擁有大量個資者)而言,內控管理上的重大變革已勢在必行。

建立個資管理系統 國際標準成為參考指南

企業組織要完全杜絕個資洩露的風險,實務上是相當棘手的巨大挑戰,難如登天。為了鼓勵企業組織正視個資管理並善盡管理責任,個資法其實設計了保護傘的機制,要求公務機關與非公務機關皆須辦理「適當安全維護措施」,既使仍不慎發生個人資料被竊取、竄改、毀損、滅失或洩漏之情事,非公務機關可向法官證明為無故意或無過失行為,盡可能爭取免罰或減輕損害賠償責任。在施行細則草案第九條,明確列出十一項適當安全維護措施如下:
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。

為與國際接軌,法務部在研擬施行細則時,參考兩個其他國家的個資管理標準,分別是英國BS 10012:2009及日本JIS-Q-15001:2006,以PDCA模式架構出「個資管理系統」框架,進而發展出上述十一項適當安全維護措施,希望各企業組織依此架構設計、建置個資管理系統,持續地運作與改善,確實保障已蒐集個資的安全。

上述兩個皆為可驗證的標準,意即可申請公正第三方驗證組織來稽核,通過後可授與證書或標章。因此,目前有些比較積極主動的企業(尤其是金融、電信業者)已開始規劃,導入並申請個資管理標準之驗證,彰顯自身的確已落實個資管理之良善責任。由於JIS-Q-15001:2006驗證機構在日本,台灣企業取得不易,加上台灣很多大型企業皆已導入ISO 27001(前身為BS 7799),制度接軌較容易,使得BS 10012成為市場主流選擇,以金融業為例,已經公告輔導要做的至少就有5家,如:合作金庫、中華郵政…等。

掌握BS 10012在地化差異 強化法規遵循性

筆者曾聽過許多人問一個有意思的問題:「為何台灣的企業及組織,需要申請英國個資管理標準之驗證,這道理我想不透?」的確,這是一個大哉問!其實如果台灣已建立個資管理驗證標準,就不再會有如此難以解釋的問題發生,可惜的是,現行尚未有此相關之CNS國家標準,最接近的算是經濟部商業司主導的臺灣個人資料保護與管理制度(TPIPAS),但目前仍是試辦階段,初期僅針對電子商務產業,尚無法服務至各行各業。

其實BS 10012架構完整,有其可供參考之價值。此標準循PDCA模式進行持續改善,標準中的各項要求,許多皆與個資法規範及施行細則之安全維護事項高度相關,如下表1所示,若能以BS 10012為基礎建置個資管理系統,將能具體呈現十一項適當安全維護措施之落實,有效強化個資保護,應可降低個資事故發生之可能性。

表1、BS 10012與個資法及施行細則高關聯性

 

個資法施行細則 BS 10012 條款編號及內容
一、成立管理組織,配置相當資源

3.1建立與管理PIMS


3.6資源提供

二、界定個人資料之範圍 3.2 PIMS的範圍及目標
三、個人資料之風險評估及管理機制 4.4 風險評鑑
四、事故之預防、通報及應變機制 4.6通報
五、個人資料蒐集、處理及利用之內部管理程序

4.7公正與合法的處理


4.8 處理個人資訊的特定目的


4.9 適當、相關及不過度


4.10 正確性


4.11保存及處置


4.12個人權利


5.2管理審查

六、資料安全管理及人員管理 4.13 安全議題
七、認知宣導及教育訓練

4.3訓練與認知


3.7PIMS納入組織文化

八、設備安全管理 4.13 安全議題
九、資料安全稽核機制 5.1內部稽核
十、必要之使用紀錄、軌跡資料及證據之保存
十一、個人資料安全維護之整體持續改善 6改進PIMS

資料來源:本文作者整理,2012/3。

不過,BS 10012標準仍有部份要求,與中華民國個資法規範不一致,這是企業在導入BS 10012時必須注意的地方:
一、 內含英國資料保護法與歐盟法規,部份要求並不適用:
BS 10012條款4.6「通報」要求,企業組織應遵循英國資料保護法,將個資處理過程之細節通報至資訊專責機構(the Information Commissioner),對照我國個資法並無此項要求。另外BS 10012條款4.14「個人資訊在EEA(歐洲經濟區)外之傳輸」要求,對我國企業組織並不適用。
二、 敏感個資定義不全然相同:
BS 10012定義之敏感個資為種族、政治立場、工會會籍、宗教立場、身心障礙者、性生活及犯罪前科等,而我國個資法定義之特種個資為醫療、基因、健康檢查、性生活及犯罪前科,定義不全然相同,另外,我國個資法明訂若非有特殊原因(即個資法第6條規定的例外事項),特種個資是不得蒐集、處理及利用,反觀BS 10012並無此高強度要求。
三、 部份個資法規範,並未涵蓋於BS 10012標準要求:
我國個資法部份規範,如書面告知、書面同意及軌跡資料保存等,並未涵蓋於BS 10012標準要求中,而上述要求,是目前各行各業最在意且最難實施之重點規範!!如何將法規要求融入至管理制度中,成為企業導入BS 10012的重要課題。舉例來說,BS 10012標準中的條款4.7.1「個人資料的蒐集與處理」中規範,企業組織應於蒐集個資時,向當事人提供「隱私權聲明」(privacy notice),清楚告知蒐集目的、處理過程及當事人權利…等八項訊息,未來企業組織可利用此條款規範,整合個資法書面方式之行使要求,讓當事人更明瞭權利義務及企業責任。另外,有關軌跡資料保存之管理,則可廣義地透過條款4.13「安全議題」來延伸涵蓋,軌跡資料的儲存與保護,及相關資料的存取控制,都是偏資訊安全面的管理領域,協助企業組織在未來舉證責任上,做好更充份的準備。
四、 管理系統標準著重系統有效性,個資法規則強調遵循性:
BS 10012標準著重於管理系統之運作,各企業組織個資風險係數不同,可考量自身面臨之威脅與弱點,來建置內部流程與程序進行控管,實施成熟度因各組織而異;但法規則強調遵循性,尤其個資法第四章至第六章,規範了行政檢查、損害賠償及罰則等,更應為各企業組織特別注意之處,但BS 10012並未著墨此部份。

總而言之,BS 10012標準內含許多要求,與我國個資法規具有高度關聯,確為值得參考的管理基礎,但仍有部份規範未完全涵蓋,企業組織僅憑一張BS 10012驗證通過的證書,是否能證明完全符合我國個資法規之各項要求,對法官心證而言,恐怕仍未具絕對說服力。

個資標準外的選擇:法規遵循性查核服務

為了更完整向法官說明個資法規之遵循性,現行許多專業團體,如法律事務所、驗證公司及顧問公司等,也紛紛推出類似個資法規遵循性查核服務,針對個資法規逐條逐項進行查核,根據查核結果產出報告。這類服務好比替企業進行個資法規健檢,其健檢報告內容,對於法界人士而言比較容易判別遵循性是否為良善狀態,企業組織除了透過BS 10012為基礎建置之個資管理系統來彰顯「適當安全維護措施」之有效性外,未來亦可思考另行採用遵循性查核服務,來補強部份法規未完全涵蓋之處,善盡管理責任。

就筆者觀察市場動態,新版個資法帶來衝擊雖然尚不確定,目前許多企業組織大多採觀望心態,希望視政府行政動作及初期訴訟案例,再來調整個資管理策略。無論策略為何,長期看來個資管理系統是不可或缺的,以下建議個資管理各階段務實性策略,供各企業組織參考:
一、 初期:進行個資教育訓練,了解法規規範,知法後才能避免違法;再者準備進行必要活動,如:個資盤點、風險評鑑等,為後期建置預做準備。
二、 中期:投入必要資源建置個資管理系統是一件艱難任務,在實務判決尚未出爐前,可且戰且走,先進行個資法規遵循性查核服務,透過查核結果了解有多少法規遵循差異,擬定改善計劃,做為下階段具體改善之指引。另外,若法官可接受此查核服務報告可展現良善責任,那企業組織可有效節省投入之成本。
三、 長期:查核報告僅能展現某一時間點,該企業組織在個資法規遵循性上的狀態,至於持續有效性管理之現象,較難於查核報告上呈現,除非企業組織定期實施查核。若法官心證仍希望各企業組織持續維運個資管理系統,則投入必要資源來建置個資管理系統仍為最終目標,藉時再視實際判決之案例,若證書之客觀性具有一定參考價值,則可考慮申請第三方驗證服務。
四、 風險轉移:不可諱言,耳聞有許多企業主不惜鋌而走險,不願花太多時間及人力,進行個資管理系統之建置及維護,希望花錢了事圖個方便,對這些企業組織而言,直接投保個資險,將風險轉移,則是一個不錯的選擇;另外許多大型高個資風險企業,為求多一道保險,也會將個資保險納入整體規劃中。

就筆者近一、兩年多場次個資相關議題說明及課程講授後之心得,許多企業組織代表在了解新版個資法後,心裡產生許多莫名恐懼,更有甚者,直指此法堪稱惡法,將使各企業組織綁手綁腳,對台灣經濟發展產生倒退的巨大影響。其實不需用如此負面心態看待新法,從文明進步的觀點來看,新版個資法不僅符合國際潮流,更完整地保障每個人的隱私權益,另一方面,也兼顧了各行各業合理利用個資的需求,積極鼓勵企業組織正視個資管理之重要性,這兩者價值或有難兩全之處,但盡可能達成平衡基準點,可受社會公評,這才是立法精神之所在。因此,如何投入必要資源,建構個資管理,善盡管理之責,才是企業組織正面看待個資法的因應之道。

本文作者現任職於驗證機構,如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com