https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

空喊口號卻不調整體質 個資保護只是半吊子

2012 / 11 / 01
魯智深
空喊口號卻不調整體質  個資保護只是半吊子

隨著傳聞中10月1日個資法正式實施的日子越來越近,業務單位開始緊張起來,甚至一狀告到總經理那,說資訊單位不積極,將來觸法了都不知道。這真是啞巴吃黃蓮,有苦說不出,當初做個資盤點的時候找了業務單位,他們覺得這些作業都沒辦法提升業績,只要列席會議就好了;當要討論作業流程時,又說要衝刺業績,沒時間參與,結果現在卻來一記回馬槍。話雖如此,該做的還是要做,於是找了時間和業務單位討論接下來的作法。

業務部說,「資訊單位是不是要告訴我們該怎麼做,不要叫我們寫作業程序,我們沒有那個時間,最好可以設計一些檢核表,我們只要照著做就好了。」

「現在新版的個資法對於個人資料的蒐集、處理、利用都有限制,不知道你所謂檢核表的範圍是什麼呢?」

「你就告訴我們一些注意事項就好啦!剩下就我們自己做。」

「但新版個資法要求真的很多耶!還有施行細則,更何況有些資料我們資訊單位真的不知道你們以前怎麼運用的,這樣一份檢核表對我們有些困難。」

「這應該很簡單阿!還是資訊處有些什麼新規定,從裡面挑出適合業務單位的也可以,只要我們沒有違法就好。」

「那我舉一個最簡單的例子,像我們那台檔案伺服器,上面有很多過去業務單位要求提供的會員資料,但這些資料要不要刪除,或是保留期限多久,我們資訊單位都不知道。」

「反正檔案伺服器是電腦,那就是資訊處要管的,至於裡面的那些檔案資料,你要怎麼處理都沒關係,只要我們要用的時候資料在就好了。」

說的好像個資法只是資訊單位的事,但我們怎麼知道這些資料要保存多久?甚至業務單位什麼時候會用到?如果刪了這些行銷資料,到時候一定又是資訊單位的問題,怎麼可以沒有經過業務單位同意就把這些資料處理掉!但如果這些資料被拿去做其他用途,也還是資訊單位的問題,認為資料保管不當。反正千錯萬錯,都是資訊單位的錯。

如果沒有辦法讓其他單位人員同樣重視這個議題,如果高階主管沒有下定決心要做整個體質上的調整,個資保護不管口號喊得多響亮,都只是半吊子作業。