從管理與組織角度 一探個資法因應之道

新版個資法初步預定2012年10月1日上路，隨著上路時程逼近，愈來愈多企業關注此議題，這也讓「如何因應個資法」成為本屆資安展最熱門的話題。從施行細則裡的11項安全維護措施來看，個資法因應可分成管理面與技術面，本篇先從管理與組織的角度出發，談企業如何因應個資法。

台灣隱私權顧問協會秘書長劉佐國提醒企業，在規劃因應之道前，必須先掌握個資法六大核心行為規定：一、明瞭個人資料的性質；二、蒐集處理利用個資的要件；三、充分認識何謂目的內或目的外利用；四、如何對當事人進行告知義務；五、重視當事人的權利；六、注意比例原則與關聯性原則。

建立個資管理制度  落實比取得驗證更重要

由於新版個資法要求個資保管者應盡善良管理人責任，促使許多企業思考導入個資保護管理制度作為證明，如：BS 10012、ISO 29100、TPIPAS…等，其中TPIPAS是經濟部商業司針對EC業者而設計，目前尚在起步階段，至於BS 10012與ISO 29100的差異，TUV NORD資訊技術事業部經理陳家楨表示，BS 10012有條文準則與實作框架，唯其參考依據為英國個資法，難免會有在地化差異，而ISO 29100並非如此，其強調的是隱私防護框架，如：角色定義與指派、各角色間的作業互動、如何識別個人資料、隱私保護需求、隱私政策，以及隱私防護原則，如：取得同意、目的、蒐集限制…等。

不過，安侯企管公司協理林義富認為，企業現階段不必急著取得驗證，根據作業流程設計個資管理制度，並加強教育訓練與落實才是重點。無獨有偶地，行政院研考會主任吳啟文也有相同看法，他表示，有沒有取得驗證並不重要，如何落實個資保護才是重點，目前政府A、B級單位已經有80%取得ISMS認證，將個資保護相關作法整併至ISMS中，會是比較理想的作法，至於整併方式可分成以下4個步驟：

1.      確認現行ISMS驗證或實作範圍是否涵蓋組織內的相關個資流程；

2.      在ISMS資訊資產分類分級上，依據個資屬性新增對應的次分類，如：加入包括一般個資或特種個資內容的文件或資訊類別；

3.      整合ISMS與個資項目的風險評鑑作業，讓風險評鑑產出結果一致化，以利於後續規劃因應措施；

4.      ISMS管控偏重在個資處理流程，但新法規範涵蓋個資的蒐集與利用，因此必須補強個資蒐集與利用的安控措施，以及增加事件通報的相關記錄欄位，如：是否需向社會大眾公告、影響範圍…等。

資誠企管協理魯君禮進一步指出，在規劃個資保護管理制度時，除了將相關文件整併至ISMS內，還要應該注意兩件事，第一是舉證責任倒置，企業需思考如何留下證據；第二是個資法屬於告訴乃論，也就是不告不罰，若能妥善處理個資當事人的抱怨與申訴，應能大幅降低受罰機率，這是企業可以優先考慮要做好的事情。

呼應前述舉證責任倒置的議題，普華商務法律事務所律師蔡朝安表示，企業注意義務的舉證，應依照堆疊式路徑來做，第一層：主張已經依照法規建置管理制度與規章；第二層：主張已經落實法令相關行為建置；第三層：提出完整書面記錄；第四層：相關情境證據，主張企業已經實質落實個資保護。

個資盤點是法規遵循的第一步

無論企業是否要導入個資管理制度，都必須做好個資盤點這件事，如此才能明確知道自身所擁有的風險有多大。安資捷資安顧問蕭智仁表示，個資盤點應該以作業流程為基礎，並透過系統彙整盤點結果，讓盤點後的資料可以被調整、儲存與維護，進而降低企業施行個資管理的成本，最重要的是盤點前記得要對相關人員進行教育訓練，才能確保盤點結果的品質。

Openfind產品經理王銘賢則指出，人工盤點個資會有3個問題：耗時、員工配合度低、電子檔案不好盤點，建議企業可採用系統盤點方式，之後再配合人工訪談確認盤點結果。以Openfind的P-Marker個資盤點服務為例，只要在端點電腦安裝掃描程式，便可自動檢測是否有個資檔案，並將統計結果上傳至雲端伺服器，如：A員工電腦內有幾份個資檔案、檔案名稱及路徑，管理者只要登入雲端伺服器就能看到完整結果。