過完年後,個資法力道似乎再度復甦,相關座談會一場接著一場,大多是趁機介紹產品或推驗證制度,甚至有些完全無關的議題,也硬要在標題加上:「在個資法環境下的…」,好像個資法又成了票房仙丹,還有很多講師自許為個資法專家,認為只有自己的見解是對的,日前,在一場訓練課程中,又碰到類似狀況。
課程一開始,講師就說:「講到個資法,首先一定要搞懂個資的定義,這在個資法第2條有明文規範,法條寫的很清楚,應該不需要多做解釋。」也不知道是同學們反應太熱烈,還是對於老師的開場白有不同看法,馬上有人提出問題:「老師,有關直接、間接方式識別個資的部分,能不能再多做說明?」「條文不是都有寫嗎?我們依照條文就好啦!」
發問的同學不死心,繼續說「那我舉個例子,員工編號算不算個資?它在單位裡面可以識別個人,但到了單位外就沒辦法,這樣算不算個資的一部分?」「這要回歸到條文來看,只要能以直接、間接方式識別就算個資。你如果主張員工編號是可以直接、間接識別的,那就是個人資料。」「但這樣不是完全沒有標準可言?如果有人主張可以識別、有人主張不可以識別,那到底誰才是對的?」「反正條文就是這樣寫,如果之後有判例了,再看法官怎麼說,你現在問我的意見,我的回答就是依照條文。」「但我們在做個資盤點的時候就碰到這個問題啊!總不能都不解決,將來出事了再由法院來處理,那我們現在做的所有工作不就變得沒有意義嗎?」
這樣一句制式回答「依照條文」,就浪費掉大半時間,到後來這個問題還是無解。我寧可相信是因為現實的狀況太多,沒有一個概括性通則,所以講師才會有這樣的反應,而不是因為講師本身沒有從頭到尾仔細地看過法條。再換另外一個角度來想,懂資安的人不一定懂法律,熟悉法律條文的人也不懂作業流程,如果彼此都是各自表述,最後受影響的還是企業本身。只是我又想到另外一個問題,如果大家真的是以保護個人資料為優先考量,會不會有不同的結果呢?