https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

【個資法鳴槍起跑,你落後了嗎?】之一:主管機關配套措施 先宣導再制定安全計畫

2012 / 10 / 12
張維君、廖珮君
【個資法鳴槍起跑,你落後了嗎?】之一:主管機關配套措施  先宣導再制定安全計畫

新版個資法於2012年10月1日正式上路,由於新法對主管機關責任有明確要求,像是第22條賦予中央目的事業主管機關或縣市政府具備行政檢查權,第27條則要求中央目的事業主管機關應訂定非公務機關個人資料檔案安全維護計畫或業務終止後個人資料處理方法,因此,本文走訪幾個中央目的事業主管機關,了解目前已經規劃哪些配套機制。

經濟部
經濟部是重要的政府組織,也是轄下產業最多的主管機關,若依據中華民國行業標準分類來看,高達80~90%都隸屬於經濟部管轄,也因此部內組織分工精細,共有16個幕僚單位、14個行政機關、5個事業機構及63處駐外商務機構,對於轄下產業各自有不同規劃。

有些單位根據部內對個資法的因應規劃來要求轄下產業,如國貿局便是如此,雖然尚未制定安全維護計畫和稽核檢查制度,但已行文給轄下產業,像是詢問特定目的及個資類別是否足夠使用、對施行細則草案有無特殊意見、要求執行個資盤點…等。而能源局是由各個業務組自行規劃管控與配套機制,但資訊中心人員會就資安管理層面提出建議,像之前在召開資安宣導會議,當時就有針對因應個資法該做哪些事來提點業者。至於商業司或能源局這種規模比較大的單位,則是自行規劃產業因應機制。

一、商業司:推動TPIPAS  個資保護有遵循標準

近年來台灣詐騙事件頻傳,有不少詐騙手法是利用電子商務交易資料,為此,經濟部商業司成立多個計劃,提高電子商務業者的資訊安全,如:資安通報平台(EC-Cert)、資訊安全管理規範…等,其中一個推動台灣個人資料保護與管理制度(TPIPAS),便是針對個資法而設計,目前市場上的個資管理制度有英國BS 10012、日本JISQ 15001、ISO 29100,只有TPIPAS強調是針對台灣法規而設計的管理制度,也因此備受市場關注,

經濟部商業司七科科長陳威達指出,TPIPAS在2011年公佈,並開放10個免費名額(屬試辦性質),由科法中心負責輔導與驗證,待驗證通過後,經濟部將發予DP-mark標章,2012年則做小幅度地調整,開放對申請者的身份限制,由原來僅限電子商務業者,擴大為只要是商業司主管的行業如:百貨、量販、零售…等皆可申請,目標是推動30家企業導入TPIPAS。

另一方面,TPIPAS也開放輔導權,至今共有7家公司取得權限,未來將進一步開放驗證權,待制度建立完成後,希望由民間法人團體自主營運,政府只扮演監督的角色。對於未來民營化之後的發展,陳威達指出,輔導權開放後,此部份的收費標準將由市場機制決定,至於驗證費,目前暫時由科法中心負責且不收費,但會檢視2012年驗證所花費的人力時間成本,再決定未來的收費標準,預計2013年才會有比較清楚的規劃。

 

至於個資法27條要求的安全維護計畫,陳威達指出目前已完成草案,未來將召開產業公聽會檢討是否有修正必要,預計2013年會公告,相關的行政檢查制度現今還沒有明確規劃,但可以肯定的是絕對不會讓個資查核變成擾民行為,未來可能的做法是,比照消保法定型化契約的查核制度,查核標準就是產業安全維護計畫,查核時間點則有二個:第一是發生個資外洩事件(或是接獲民眾檢舉通報);第二則是以抽樣方式,針對指標性業者(個資筆數多或是風險高)做輔助性查核。

二、工業局:盡其所能提供資源  降低個資因應難度

工業局目前由知識服務組作個資法的統籌規劃,工業局知識服務組科長林俊秀表示,2012年的規劃主要以宣導、教育訓練為主,目標是讓企業了解個資法及如何因應,做法有編篡宣導手冊、制定安全維護計畫、在工業局網站上成立個資法輔導專區。

林俊秀指出,2011年曾經針對業者進行個資法調查,結果發現多數企業不太能理解法律規範,也不知道該如何因應,所以在2012年出版「個人資料法規遵循參考指引暨宣導手冊」,主要內容包括:新版個資法發展歷程與重點剖析、施行細則修正草案的修正重點(該手冊出版時,行政院還未公告施行細則)、個資管理作法建議、日常作業常見的法規遵循問題,目前共有資訊服務業與通用版(General)兩種版本。

而個資檔案安全維護計劃及業務終止後個人資料處理方法,預計年底會推出草案,並舉辦公聽會邀請業者進行討論,再決定後續該如何修正調整。由於工業局主管的產業非常多而且業種特性差異大,包括線上遊戲、數位內容、資訊服務、製造業…等,因此在草擬安全維護計畫時,將先以通用版(General)為主,也就是能夠適用於各個產業,之後再評估中小企業的能力負擔,以及推出後可能對產業造成的衝擊,再決定要指定哪些產業或是個資筆數在何種規模以上的企業,必須遵循個資安全維護計畫。

林俊秀強調,個資安全維護計畫的宣告必須謹慎,不能求快,因為計畫制定了就不能經常改變,還要做到公平、對產業不能影響太大、兼顧個資保護成效,因此事前的溝通討論、評估準備工作不能輕忽。

至於行政檢查機制,由於牽涉層面較廣,目前還在規劃執行方式,重點是不能擾民又要發揮嚇阻作用,讓企業落實個資法因應措施,預計2012年底會定出檢查流程與項目,至於何時要發動稽核?稽核對象如何決定?則需要與業務單位做進一步討論,由於個資法25條規定中央或地方政府皆有個資檢查的權限,兩者之間如何分工,也需要相互協調,不過,工業局已經成立專責窗口,只要接獲民眾檢舉通報,一定會主動去稽查。

 

2012年第三個規劃就是成立輔導專區,將各產業比較容易遇到的問題、解決方式、因應作法等資訊,整理後放在網站上,用類似Q&A的方式呈現,讓企業能夠有更多資訊知道如何因應個資法。

2013年的做法分成需求與供給面兩端,需求面(也就是有因應個資法需求的單位)仍將著重在教育宣導,局裡計畫舉辦至少5場研討會,提昇各個業務組產業輔導的能力,供給面則將訓練種子顧問,讓資服業者/資安廠商具備輔導或顧問能量,可以協助其他企業因應個資法。

衛生署
衛生署目前已經擬好安全維護計劃,準備召開產業公聽會,由於醫療產業規模落差非常大,小到員工只有4~5人的診所,大到上千人的醫學中心都有,造成個資安全維護標準的制定變得比較困難,以成立管理組織為例,診所人力編制只有4~5人,要求他們成立管理組織其實不太有意義。

再加上目前台灣2萬多家醫療院所,其中有18,000家是診所,中大型醫院只有100多家,因此衛生署傾向以低標的方式訂定安全維護計畫,希望讓所有業者都能遵循,如果訂的標準太高,高達9成左右業者不能遵循,安全維護計畫也就變得沒有意義了。

至於行政檢查作業,由於醫院本來就有許多稽核檢查程序,因此計畫從現行稽核規範去擴大,調整稽核需要的文件或流程,看看是否能將個資稽核的要求納進來。

教育部
教育部電子計算機中心高級分析師莊育秀表示,針對轄下產業的配套機制,主要進行教育宣導、提供個資盤點工具。之前,教育部便委託成大資通安全研發中心建置「教育機構防洩露個資掃瞄平台」,提供教育單位進行免費網站個資掃描。在定期召開的大專院校電算中心、縣市網路中心會議上,也都有宣導個資法相關事宜,並曾邀請過公私立大學各1家代表,分享在校內推動及因應個資法的經驗。

由於教育部責成電算中心負責個資法的統籌規劃,因此大專院校也多半是由電算中心來負責,這一點與其他主管機關由法務或業務單位統籌的作法不一樣。

關於個資檔案安全維護計畫,莊育秀指出,在電腦處理個人資料保護法的年代,學校就已經是其所規範的八大行業之一,因此,相關的資料安全保護機制早已存在,只不過配合新版個資法上路再去做調整,目前計畫在現行教育體系ISMS裡納入PIMS,也就是因應個資法要做的事情,預計2012年底完成。

不過,教育部在主管轄下產業時,有一個難解習題是各級公私學校該如何定位?兩者皆為公務機關或非公務機關?亦或公立學校為公務機關,私立學校為非公務機關?新版個資法對公務機關與民間企業所要求的責任義務並不相同,舉例來說,公務機關必須在網站上公告個資檔案,但非公務機關不必如此,因此,公私立學校的定位將會影響主管機關管理措施,然而這部份法條內沒有標準答案,法務部開放由教育部自行認定,而教育部目前的作法是後者,亦即公立學校為公務機關,私立學校為非公務機關。

個資法統籌者  最好是法務或業務單位
企業因應都會仿照主管機關的作法,舉例來說,經濟部原先是由資訊中心負責個資法因應,後來改由法規委員會負責,部內各單位也跟著將個資法相關事宜由資訊中心移轉到法規處,而教育部由電算中心負責統籌,使得大專院校也跟著交由電算中心負責,由於個資法所要求的不只是資安防護,還有很多個資使用上的法律程序問題,建議還是由法律或業務單位主導,資訊部門擔任技術支援角色,才能做比較好的法規遵循。

金管會
金管會官員表示,銀行局、證期局、保險局會各自訂定個資檔案安全維護計畫給轄下產業遵循,公佈時間未定,但預料在年底之前。儘管金融業有跨業經營的部分,但未來各局是否會整合成一份安全維護計畫,目前都還在研議中。

由於金融業已是舊個資法規範的行業,除了舊版的個人資料檔案安全維護計畫標準外,也有相當多與資料安全相關的法規,如「保險業電子商務紀錄保存及內部安全控制作業管理自律規範」、「金融機構辦理電子銀行業務安全控管作業基準」等,因此相關管理並非從零開始。目前看來業者態度兩極,有些對於新法似乎有備而來,已有因應之道。有些仍相當緊張,非常關切個資檔案安全維護計畫內容,希望照著走。

根據記者私下探查的結果,目前上述相關公會均正緊鑼密鼓擬定個資檔案安全維護計畫草案中,至於草案會訂到多具體則有不同看法。目前銀行公會由法規組負責制定,但技術部份會參酌資訊人員意見。而券商公會已有各種版本,有些寬鬆有些嚴格,但對於log要保留多久等問題,目前仍未定。而壽險公會也在9月底曾發文提供業界各種範本文件做為參考。

關於行政檢查權,目前檢查局的例行金檢已涵蓋個人資料的檢查項目,將來檢查局會與各局就個資法的內容研議檢查方式。

內政部地政司不動產交易科
內政部地政司不動產交易科表示,目前正擬訂「不動產經紀業個人資料檔案安全維護管理辦法(草案)」中,同時也將為仲介業者及代銷業者辦理「不動產經紀業個人資料保護宣導會」,讓業者能明白個資法與其執行業務的利害關係,並為之因應。

而未來民眾若對不動產經紀業者個人資料的管理有疑慮,或發現疑似個人資料被外洩,可檢附具體個案資料,向直轄市、縣(市)政府檢舉或申訴,若經審查認有必要者,主管機關就可依個人資料保護法第22條規定對業者進行檢查。

此外,中華民國不動產仲介經紀商業同業公會全國聯合會於101年9月14日,已發文各會員─不動產經紀業因應個資法實施之注意重點,其中除說明個資法對不動產經紀業的影響,更列舉32個不動產經紀業不可不知的個資法問題。

交通部觀光局
交通部觀光局表示,今年2月觀光旅館業已被指定適用電腦處理個人資料保護法,觀光局已制定出「觀光旅館業接受個人資料查詢閱覽或製給複製本收費標準」。此外,現行旅客的住宿資料,依觀光旅館業管理規則規定,保存期限為半年,未來會在年度檢查時將個資納入檢查項目。而旅行業的部分原已有旅行業管理規則,其中第34條提及「旅行業及其僱用之人員於經營或執行旅行業務,取得旅客個人資料,應妥慎保存,其使用不得逾原約定使用之目的。」去年底觀光局也曾發文提醒各旅行業者需注意個資法規定。

而目前觀光局是否會制訂非公務機關的個資檔案安全維護計畫給旅館業、旅行社,觀光局表示會進一步了解業者保有個資的數量,再討論決定,但施行細則所規範的項目是一定要遵循的。

結論
綜觀各個目的事業主管機關的作法,大多為教育宣導,至於個資檔案安全維護計畫多半只有草案或正在訂定中,原因在於個資法10月1日才上路、施行細則也是在9月底才正式公告,加上法務部曾經表示會提供相關範本,種種原因使得主管機關不願意提前宣告安全維護計畫,萬一內容與母法、細則、或法務部範本有不符之處,豈不是要再度修改,突增困擾。

此外,新版個資法多頭馬車管理的問題仍未解決。如今,各個目的事業主管機關各訂一套安全維護計畫,對於跨業經營的企業而言,該遵循哪一個版本才對?新版個資法賦予中央目的事業主管機關與地方政府兩者皆有行政檢查權,中央與地方政府該如何分工,若沒有清楚分工,很可能造成企業不停在接受個資查核,原本的立法美意反而變成擾民行為。

最後,在這次訪談中我們發現有些產業的公協會態度非常積極,如:銀行、保險、證券、不動產…等,主動搜集資源,協助企業因應個資法,也因此使得這些產業相對比較重視、因應法規的速度也較其他產業來得快,未來,各目的事業主管機關在推動配套機制上,若能與公協會合作,應能發揮事半功倍的效果。

 

【個資法鳴槍起跑,你落後了嗎?】之三:剖析安全維護計畫  如何採購個資解決方案?