最近兩起與個資法相關的新聞事件引人注意──「猜猜個人資料怎麼用?第一起保經遭罰案例」、「二手硬碟藏個資!落實銷毀程序以免外洩資料」乍看之下似乎是不同類型,但追根究底其實指向同一個問題:內部管理程序未落實。
在第一個案例中,保險經紀人將客戶個資提供給合作的壽險公司案例中,被忽略的是這些個資應當事先被規範清楚,在客戶同意的情形下才能去使用。而在二手硬碟含個資的案例,則點出企業原資料擁有者將個資檔案提供給外部合作夥伴後,合作廠商卻未善盡資料保護/銷毀工作。很顯然地,這些事件無法單靠防護技術來避免,而是需要一套完善的內部管理程序。
個資蒐集、處理及利用之內部管理程序,在個資法施行細則第九條制定安全維護措施中是重要的項目。建立起這樣的程序不簡單,包括律師事務所、管理顧問業者都有提供服務,或可善用經濟部為電子商務業者制定的TPIPAS個資管理制度。
管理制度,很明顯已經不只是IT或資安人員的執掌。日前聽說經濟部原本也是由資訊單位負責個資專案,但在幾次會議之後,經濟部長官一聲令下,因應法規應該由法務人員來負責制定框架,之後再讓相關單位各司其職。原來,其實個資專案在不同階段應該可以由不同單位負責主導,在籌備因應階段先讓法務人員制定框架,後續落實執行階段再讓業務人員主導,也是一種可行方式。
從資訊、法務到總務人員,個資保護工作需要靠大家群策群力。這個月即將登場的台北國際資安展將規劃適合法務人員、資安人員參加的研討會課程,以及適合資安圈新手參加的活動或資深人員會有興趣的數位證據等議題,希望大家滿載而歸。