個人資料保護法於2010年修正通過,將規範主體擴及一般個人與公司企業,不再侷限於傳統八大行業,對企業營運來說造成不小的衝擊,由於現代企業經營無法與個資之蒐集、處理及利用分離,無論人事、行政、行銷企劃、客服、資訊…等部門,事實上皆難以脫離個人資料使用,若要遵循新法規範,就得在營運中落實對個人資料的保護,以下從組織、人、物及契約四大管理面向,提供法規遵循及風險控管的建議。
組織管理:首重專人專職
新版個資法第18條規定,公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,本條條文規範對象雖只限於公務機關,惟一般私人企業亦應比照辦理,因員工日常事務繁多,若未專人專責,個資保護勢將成為「眾人之事」而無人負責。
事實上,個資新法上路有諸多細節須調整因應,設置專人有利於企業評估自身需求及所面對之法規遵循風險,規模較大的企業更可考慮設計專職或兼職之「個資長」職位,處理與個資相關的管理工作,如:個人資料檔案建立/保管/維護、個人資料內部相關制度建立、企業員工教育訓練安排、人事異動交接程序規劃、個人資料安全維護設備採購…等。
此外,企業蒐集、利用與刪除或停止利用個人資料的制度設計,也是因應個資法施行的核心,企業活動涉及個人資料者,均應在事前進行個資生命周期評估,確認蒐集、利用該筆個人資料的合法性及維護成本,並將這套評估程序變成日常營運活動的一環。
以企業必然會有的僱傭契約為例,此乃基於人事行政管理之特定目的而蒐集、處理、利用員工的個人資料,然而,企業並非告知並取得員工同意後,就可以任意蒐集、利用其個人資料。根據個資法第8條有關告知事項之規範,企業在評估蒐集程序時,至少應考量所蒐集個人資料的類別、特定目的、利用期間及方式;另外還有蒐集後的管理方式?哪些人可以接觸該筆資料?接觸資料的程序為何?除了人事以外,其他部門員工能否加以利用?利用時應經何種程序?當員工離職退休時,又該如何刪除或停止利用個人資料?
新的商品或服務推出亦然,從商品或服務本身的設計、商品販售/服務提供方式、行銷推廣計畫、或與第三人合作行銷方案…等,都得將個人資料的法規遵循及風險控管納入規劃。企業應先建立可供內部遵循之作業準則,始能確保每一筆個人資料之蒐集、利用及刪除或停止利用均符合法令規範。
人的管理:加強教育訓練
個資法遵循與企業日常營運息息相關,對法規的認知不能只是法務部門,全體員工都要有一定程度的理解,例如:什麼狀況下可以蒐集個資、哪些個資可以蒐集、蒐集以後的保管與利用方式、手中的個人資料是否得停止利用、新產品或服務設計是否須納入個人資料保護的規劃、該如何規劃…等。此類與公司業務相關的個資法遵循事項,誠然某些部分可藉由事後與法務人員深入討論再修改或做出結論,惟如此一來亦可能因一再往返修改而拖累作事效率。
因此,企業應該將個人資料保護列入職前或日常教育訓練中,並訂定出工作規範,離職訪談時亦應提醒員工不得帶走任何個資檔案,或就其所接觸之個人資料為任何方式的利用,將法規遵循的基本概念深植於員工心中,使員工在執行各項企業所交辦任務時,能直接對個人資料保護事項做出基本判斷。舉例來說,信用卡業務員應該知道,銀行與客戶間基於信用卡申請書而建立了類似契約關係及相關之特定目的,因此,申請書上的個人資料除了基於此項類似契約關係及相同之特定目的外,不得任意調閱或做其他利用。如此不僅加快企業日常營運效率,還能降低企業違反個資法的機率。
事實上,個人資料與營業秘密類似,過往許多個資外洩案件皆由員工行為所引起,因此,人的管理其實很重要,最好能以具體方式呈現(也就是paper work),一來可降低違法風險,二來舉證方便,倘若日後發生個資侵害的爭訟,企業比較容易於法庭舉證日常已經努力做好個人資料維護工作,縱使無法因此脫免全部法律責任,仍有可能說服法官並做出減輕企業所應負責任的判決。
物的管理:透過資安技術落實管理制度
個資法遵循的工作重點有二個:落實法律程序及個人資料檔案維護工作。法律程序之落實,有賴於前述個資主管或法務主管的努力,以及員工教育訓練的成果,惟個人資料檔案維護工作,就不單單只是靠人的努力,還需要結合軟硬體資源才能達成目標,也就是透過資安設備落實個人資料管理機制或制度。
法律規範或企業內部作業準則多半嚴謹且生硬,一般人通常記不住其中所有條文,因此,企業導入資安設備時,除了用來防止個人資料遭到外部人士竊取,或避免因疏失而造成個資外洩事件,還必須注意一個重點,就是如何透過資安軟硬體技術,落實內部有關個人資料管理的規範。
舉例而言,若企業內部的資訊系統只有做權限控管,卻沒有具體的使用記錄,對於個人資料被不當利用時,往往難以早期發現,等到個資外洩事件爆發後,再嚴厲的內部懲處也無濟於事。以先前台灣高等法院法官違規查詢個資之新聞事件為例,為何事後可直接查證到特定法官在特定時間點進行不當查詢,就是因為資訊系統有相對應的配套機制。如何使資安設備功能不侷於資訊安全,而擴及個人資料管理,亦是企業未來因應個資法施行的重要工作。
契約的管理:合於法條規範
企業對內對外法律關係皆是落實於契約中,個人資料保護法施行後,契約內容亦將受到個資法影響,而有調整的必要性,例如:個資法施行細則草案第8條規定,委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受委託人為適當之監督,企業若將客戶個人資料委由第三人處理的話,就得於契約中詳細規範第三人應如何遵守個資法相關規定,企業又將如何對其作監督。
又如產品或服務有蒐集消費者個人資料需要時,企業可否於消費者契約中訂定,該契約之特定目的,使企業可在該目的範圍內進行利用?依據法務部2007年所表示之意見,特定目的應符合與當事人契約或類似契約關係目的範圍內始得為蒐集、處理或利用,是以企業應如何於契約中安排與消費者之法律關係及特定目的,亦是必須注意的地方。
綜前所述,個人資料保護法之目的除了保護個人隱私外,亦在促進個人資料之合理利用,因此,雖然法規制訂諸多程序條文及設下各項限制,惟如企業能於平時預先做好各項制度性管理規劃,不僅能消極地降低企業違法風險,亦能積極增加企業名聲,並更流暢的利用所蒐集之個人資料,相信在政府機關及企業的共同努力下,我們可以重返彼此「互信」的社會環境。
本文作者現任職於律師事務所,如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。