自從個資法於99年5月26日總統明令公佈後,經過將近2年時間的討論與審查,終於要在今年的10月1日正式實施,而個資法施行細則也將同步上路。在只剩下不到1個月的時間內,那些還沒有規劃因應措施的企業們,究竟可以做些什麼呢?
由於新版個資法已刪除非公務機關行業別之限制,不再侷限於某些特定行業才適用,換句話說,所有的企業乃至個人,都必須接受個資法的規範,這也造成不管是資安產品廠商、系統整合業者、顧問公司、甚至是提供電腦資訊相關教育訓練的公司,幾乎都以個資法做為行銷與推廣活動的主軸。
但對企業而言,購買了相關的產品或服務,是否就已經足夠?個資法施行細則修正草案中的第九條規定非公務機關為防止個人資料被竊取、毀損、滅失或洩漏,應採取十一項必要措施,這當中包括了界定個人資料的範圍,以及個人資料之風險評估及管理機制這兩項工作,而這兩項工作的基礎就是個資盤點,也就是練武之人常講的蹲馬步、調氣息、練內功等基本動作。
此時問題來了,企業要怎麼進行個資盤點?
目前市面上僅有少數針對個資盤點而設計的工具/軟體,其餘大多是以軟硬體資產盤點的產品充數,但這些都不足以涵蓋個資盤點所要清查與記錄的資料內容,也無法掌握個資的所有權部門與流向;倘若不用工具,而是請顧問公司協助導入個資管理制度(同時一併做個資盤點),依目前比較知名或有專業能力的顧問公司報價動輒數百萬元起跳,一般中小企業幾乎不可能負擔得起,而且顧問協助建立制度後,日後企業內部還是要有人維護;因此目前比較可行的方式就是土法煉鋼的人工盤點,另外可以再用一些具備偵測敏感資料功能的產品(如:DLP),在企業內部進行掃瞄偵測以期發現漏網之魚(個資)做為補強。
只不過現今市場上所看到DLP廠商的產品銷售模式,幾乎都是依使用者數量去估價,以買斷的方式將產品佈署於企業內部,尚未聽說有計次服務的方式,偏偏DLP成本較高,除非是大型企業才有能力編列足夠預算,部署這種無法直接看到成效的產品,至於一般中小企業,應該無法一次付出數百萬至上千萬的軟體採購費用,面對國內龐大的中小企業市場,相關廠商似乎可以思考提供不同銷售模式的可能性。
接下來則是簡單說明企業自行盤點個資的5個步驟。
第一步、取得最高管理階層授權
個資往往散佈在企業各個部門,個資盤點當然也需要跨部門參與,當我們要進行這種幾乎是所有部門都要參與的專案工作,取得高階主管(例如總經理)的支持與授權顯然非常重要。
如果高階主管表現出來的態度是輕描淡寫、甚至可有可無,就很可能發生有些部門在揣摩上意或是因為本身部門業務繁忙的情況下,對於專案的態度通常也就是草草交差了事,甚至根本不屑一顧,也因此可能影響專案時程,或是盤點不確實,專案雖然尚未開始,但已經可以預測專案最後的成果一定是成效不彰的。
第二步、找到對的人
要進行個資盤點,首先要指派主導個資盤點工作的負責人。適合人選至少要具備以下二個條件:
1. 該人員除了取得高階主管的授權外,也必須對各部門有一定程度的權威,才能協調與指揮各部門所指派的窗口,以利工作的進行。
2. 最好對企業各部門主要業務有一定程度的了解,才可以針對企業內部的個資做分類,方便各部門確實整理所蒐集、處理及利用之個資。
第三步、個資分類與盤點
前述曾經提到,在進行個資盤點前應先對企業內部的個資做分類,該如何分類?要分成哪些類別?基本上會隨著產業別不同而有所差異,但還是有些類別具有共通性,舉例來說,人力資源部門的員工招募作業,所涉及的個資類別就有員工與應徵者,而這是每一個企業都會遇到的,又如果是公司型態的企業,則會有董事與監察人的個資,至於客戶,則看企業是否有自然人的客戶而定。
以下再舉幾個企業可能會蒐集的個資類別,例如訪客、合作廠商員工、執行業務所得個人資料(像是會計師、律師、教育訓練講師…等)、出租工作場所給企業的房東等,甚至有些企業還會有受委託處理的個資,像是中華郵政委託民間快遞業者處理郵務,或是證券業的股務代理業務受託處理其他公司股東資料。
第四步、填寫清查表格
在完成個資分類後,接下來就是設計清查表格供各部門填寫、進行個資清查作業,筆者建議依照企業內部各部門的組織分工,以及該部門內的各項業務流程做為填寫依據,例如:人力資源部的員工招募作業、財務部的講師車馬費申請作業…等,至於個資清查表格要包含哪些項目,建議分為彙總表與明細表兩種。
彙總表用來描述該類個資的一般資訊,至少要包含以下欄位:
@包含哪些個資成分(例如:姓名、地址、身份證字號等);
@涉及該個資的作業項目(例如:人員招募、採購作業等);
@屬於哪一種個資種類(例如:員工、客戶、董監等);
@個資檔案名稱(例如:員工基本資料、客戶基本資料、執行業務所得扣繳資料);
@蒐集/處理/利用該個資的特定目的,可參考法務部於民國85年8月7日發布/函頒的電腦處理個人資料保護法之特定目的及個人資料之類別;
@資料來源(當事人、第三人或企業其他部門);
@取得方式(直接/間接);
@資料屬性(電子/書面);
@是否含有特種個資,如果有,則須辨識是哪些特種個資以及蒐集的法源依據。
@該個資所屬的權責單位;
@保存期限。
至於明細表則是用來描述該類個資進一步的資訊,包含個資存取用途、個資存放處所/系統、哪些人員具有存取權限人員、以及作業方式(蒐集/處理/利用)等。
第五步、彙總企業內部個資
在各部門完成個資盤點後,專案負責人要協助各部門檢視表格是否填寫正確,至於個資盤點結果是否完整,還是只能依賴各部門自由心證,畢竟專案負責人無法熟悉每個部門的業務與日常作業。
此外,各部門個資盤點結果只會清查到自己部門作業所涉及到的個資,如果是涉及跨部門作業的個資,就必須從清查表中的資料來源進行勾稽串連。企業可以從檢視表格中的資料來源欄開始,將個資從最初的蒐集、處理、儲存、利用到刪除/銷毀的過程串聯起來,並列出所牽涉的部門,一來可協助交叉檢視各部門所填寫資料的完整性,二則可以避免資料流在企業內部形成斷點,日後在做風險評估時容易造成盲點而成為隱藏的風險。
在完成個資盤點後,個資管理的基礎工作算是完成了,但後續還有很多工作要做,舉例來說:
1. 對所盤點的個資進行風險評估,掌握在作業過程中可能會發生的風險,針對該風險提出預防或矯正措施;
2. 在企業內部成立管理組織,負責日後推動個資相關工作(實務上也可以先成立該組織再進行個資盤點工作);
3. 建立個資管理制度(例如制定法令或主管機關所要求的內部規章、辦法等);
4. 對間接取得的個資履行告知義務(例如員工的緊急聯絡人、由第三人處取得的潛在客戶名單,皆屬於間接取得)等。
後續工作瑣碎繁雜,但法律就是法律,一旦正式實施就沒有討價還價的空間,即便再麻煩,企業也必須做好該有的因應機制,即便萬一不幸發生個資外洩事件,也可以做為善盡管理責任之舉證,千萬不要存著僥倖心態,小心成為日後個資法的教材與案例。
本文作者現為金融業資安人員。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。