導入個資標準BS 10012 需補強在地化差異

隨著新版個人資料保護法（以下簡稱個資法）上路時程愈來愈近，各行各業日益正視新法所帶來的衝擊，對組織及企業（特別是擁有大量個資者）而言，內控管理上的重大變革已勢在必行。

建立個資管理系統 國際標準成為參考指南

企業組織要完全杜絕個資洩露的風險，實務上是相當棘手的巨大挑戰，難如登天。為了鼓勵企業組織正視個資管理並善盡管理責任，個資法其實設計了保護傘的機制，要求公務機關與非公務機關皆須辦理「適當安全維護措施」，既使仍不慎發生個人資料被竊取、竄改、毀損、滅失或洩漏之情事，非公務機關可向法官證明為無故意或無過失行為，盡可能爭取免罰或減輕損害賠償責任。在施行細則草案第九條，明確列出十一項適當安全維護措施如下：
一、成立管理組織，配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。

為與國際接軌，法務部在研擬施行細則時，參考兩個其他國家的個資管理標準，分別是英國BS 10012:2009及日本JIS-Q-15001:2006，以PDCA模式架構出「個資管理系統」框架，進而發展出上述十一項適當安全維護措施，希望各企業組織依此架構設計、建置個資管理系統，持續地運作與改善，確實保障已蒐集個資的安全。

上述兩個皆為可驗證的標準，意即可申請公正第三方驗證組織來稽核，通過後可授與證書或標章。因此，目前有些比較積極主動的企業（尤其是金融、電信業者）已開始規劃，導入並申請個資管理標準之驗證，彰顯自身的確已落實個資管理之良善責任。由於JIS-Q-15001：2006驗證機構在日本，台灣企業取得不易，加上台灣很多大型企業皆已導入ISO 27001（前身為BS 7799），制度接軌較容易，使得BS 10012成為市場主流選擇，以金融業為例，已經公告輔導要做的至少就有5家，如：合作金庫、中華郵政…等。

掌握BS 10012在地化差異 強化法規遵循性

筆者曾聽過許多人問一個有意思的問題：「為何台灣的企業及組織，需要申請英國個資管理標準之驗證，這道理我想不透？」的確，這是一個大哉問！其實如果台灣已建立個資管理驗證標準，就不再會有如此難以解釋的問題發生，可惜的是，現行尚未有此相關之CNS國家標準，最接近的算是經濟部商業司主導的臺灣個人資料保護與管理制度(TPIPAS)，但目前仍是試辦階段，初期僅針對電子商務產業，尚無法服務至各行各業。

其實BS 10012架構完整，有其可供參考之價值。此標準循PDCA模式進行持續改善，標準中的各項要求，許多皆與個資法規範及施行細則之安全維護事項高度相關，如下表1所示，若能以BS 10012為基礎建置個資管理系統，將能具體呈現十一項適當安全維護措施之落實，有效強化個資保護，應可降低個資事故發生之可能性。

表1、BS 10012與個資法及施行細則高關聯性

資料來源：本文作者整理，2012/3。

不過，BS 10012標準仍有部份要求，與中華民國個資法規範不一致，這是企業在導入BS 10012時必須注意的地方：
一、 內含英國資料保護法與歐盟法規，部份要求並不適用：
BS 10012條款4.6「通報」要求，企業組織應遵循英國資料保護法，將個資處理過程之細節通報至資訊專責機構(the Information Commissioner)，對照我國個資法並無此項要求。另外BS 10012條款4.14「個人資訊在EEA（歐洲經濟區）外之傳輸」要求，對我國企業組織並不適用。
二、 敏感個資定義不全然相同：
BS 10012定義之敏感個資為種族、政治立場、工會會籍、宗教立場、身心障礙者、性生活及犯罪前科等，而我國個資法定義之特種個資為醫療、基因、健康檢查、性生活及犯罪前科，定義不全然相同，另外，我國個資法明訂若非有特殊原因（即個資法第6條規定的例外事項），特種個資是不得蒐集、處理及利用，反觀BS 10012並無此高強度要求。
三、 部份個資法規範，並未涵蓋於BS 10012標準要求：
我國個資法部份規範，如書面告知、書面同意及軌跡資料保存等，並未涵蓋於BS 10012標準要求中，而上述要求，是目前各行各業最在意且最難實施之重點規範!!如何將法規要求融入至管理制度中，成為企業導入BS 10012的重要課題。舉例來說，BS 10012標準中的條款4.7.1「個人資料的蒐集與處理」中規範，企業組織應於蒐集個資時，向當事人提供「隱私權聲明」(privacy notice)，清楚告知蒐集目的、處理過程及當事人權利…等八項訊息，未來企業組織可利用此條款規範，整合個資法書面方式之行使要求，讓當事人更明瞭權利義務及企業責任。另外，有關軌跡資料保存之管理，則可廣義地透過條款4.13「安全議題」來延伸涵蓋，軌跡資料的儲存與保護，及相關資料的存取控制，都是偏資訊安全面的管理領域，協助企業組織在未來舉證責任上，做好更充份的準備。
四、 管理系統標準著重系統有效性，個資法規則強調遵循性：
BS 10012標準著重於管理系統之運作，各企業組織個資風險係數不同，可考量自身面臨之威脅與弱點，來建置內部流程與程序進行控管，實施成熟度因各組織而異；但法規則強調遵循性，尤其個資法第四章至第六章，規範了行政檢查、損害賠償及罰則等，更應為各企業組織特別注意之處，但BS 10012並未著墨此部份。

總而言之，BS 10012標準內含許多要求，與我國個資法規具有高度關聯，確為值得參考的管理基礎，但仍有部份規範未完全涵蓋，企業組織僅憑一張BS 10012驗證通過的證書，是否能證明完全符合我國個資法規之各項要求，對法官心證而言，恐怕仍未具絕對說服力。

個資標準外的選擇：法規遵循性查核服務

為了更完整向法官說明個資法規之遵循性，現行許多專業團體，如法律事務所、驗證公司及顧問公司等，也紛紛推出類似個資法規遵循性查核服務，針對個資法規逐條逐項進行查核，根據查核結果產出報告。這類服務好比替企業進行個資法規健檢，其健檢報告內容，對於法界人士而言比較容易判別遵循性是否為良善狀態，企業組織除了透過BS 10012為基礎建置之個資管理系統來彰顯「適當安全維護措施」之有效性外，未來亦可思考另行採用遵循性查核服務，來補強部份法規未完全涵蓋之處，善盡管理責任。

就筆者觀察市場動態，新版個資法帶來衝擊雖然尚不確定，目前許多企業組織大多採觀望心態，希望視政府行政動作及初期訴訟案例，再來調整個資管理策略。無論策略為何，長期看來個資管理系統是不可或缺的，以下建議個資管理各階段務實性策略，供各企業組織參考：
一、 初期：進行個資教育訓練，了解法規規範，知法後才能避免違法；再者準備進行必要活動，如：個資盤點、風險評鑑等，為後期建置預做準備。
二、 中期：投入必要資源建置個資管理系統是一件艱難任務，在實務判決尚未出爐前，可且戰且走，先進行個資法規遵循性查核服務，透過查核結果了解有多少法規遵循差異，擬定改善計劃，做為下階段具體改善之指引。另外，若法官可接受此查核服務報告可展現良善責任，那企業組織可有效節省投入之成本。
三、 長期：查核報告僅能展現某一時間點，該企業組織在個資法規遵循性上的狀態，至於持續有效性管理之現象，較難於查核報告上呈現，除非企業組織定期實施查核。若法官心證仍希望各企業組織持續維運個資管理系統，則投入必要資源來建置個資管理系統仍為最終目標，藉時再視實際判決之案例，若證書之客觀性具有一定參考價值，則可考慮申請第三方驗證服務。
四、 風險轉移：不可諱言，耳聞有許多企業主不惜鋌而走險，不願花太多時間及人力，進行個資管理系統之建置及維護，希望花錢了事圖個方便，對這些企業組織而言，直接投保個資險，將風險轉移，則是一個不錯的選擇；另外許多大型高個資風險企業，為求多一道保險，也會將個資保險納入整體規劃中。

就筆者近一、兩年多場次個資相關議題說明及課程講授後之心得，許多企業組織代表在了解新版個資法後，心裡產生許多莫名恐懼，更有甚者，直指此法堪稱惡法，將使各企業組織綁手綁腳，對台灣經濟發展產生倒退的巨大影響。其實不需用如此負面心態看待新法，從文明進步的觀點來看，新版個資法不僅符合國際潮流，更完整地保障每個人的隱私權益，另一方面，也兼顧了各行各業合理利用個資的需求，積極鼓勵企業組織正視個資管理之重要性，這兩者價值或有難兩全之處，但盡可能達成平衡基準點，可受社會公評，這才是立法精神之所在。因此，如何投入必要資源，建構個資管理，善盡管理之責，才是企業組織正面看待個資法的因應之道。

本文作者現任職於驗證機構，如您對本文有任何感想，歡迎來信交流：isnews@newera.messefrankfurt.com。