倒數5天,新版個資法就要正式上路,行政院也在此時公佈了個資法施行細則修正條文,與2011年10月公佈的個資法施行細則草案相比,主要的差異有以下7點:
1.第三條對間接識別個資的定義,移除「但查詢困難、需耗費過鉅或耗時過久始能特定者,不在此限」。
2.重新定義所謂的病歷與醫療:
(1)病歷指的是,醫療法第六十七條第二項所列之各款資料。
(2)醫療指的是,包含病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。
3.第五條對個人資料檔案的定義,刪除「軌跡資料」一詞。換言之,Log將不再是個資檔案的範圍。
4.第六條對刪除個資的定義,移除「前項規定,如為事後查核、比對或證明之需要而留存軌跡資料者,得不予刪除」。
5.增列條文:對「法律」、「法定職務」、「法定義務」的定義。
6.增列條文:「本法第七條所訂書面意思表示之方法,依電子簽章法之規定,得以電子文件為之」。
7.刪除第17條部份內容「儲存方式特殊致不能刪除或耗費過鉅始能刪除」。
同時,行政院也修正了特定目的與個人資料類別,特定目的由原本的101項增加至182項,其中第176項為「其他自然人基於正常性目的所進行個人資料之蒐集處理及利用」,一來更切合現行作業需求,二來也能讓公務及非公務機關日後在蒐集、處理與利用個人資料檔案,能夠確保在特定目的範圍內。
除了施行細則和特定目的外,目前企業最關心的就是「非公務機關個人資料檔案安全維護計劃」何時會公布?個資法第27條規定,此計劃由各目的事業主管機關自行訂定,但在先後訪問幾個主管機關的意見後,有些表示目前已有初步草案,有些則指出,待參考法務部所發佈的範本後再做決定。
某證券業資安人員認為,個資法即將上路,企業若以安全維護計劃未公布為理由,沒有任何因應措施,屆時若發生個資事件,一定會被認定違法,而今施行細則既然已正式公告,企業不妨參考第12條所列的11項安全維護措施,逐條執行,待主管機關公佈安全維護計劃後,再將相關條文整併至既有個資/資安管理制度中,這樣才是最佳的因應做法。