法規遵循是中小企業穩健成長與永續經營的重要基礎,自個資法施行後,適用主體不再僅限於八大行業,任何企業只要涉及個人資料蒐集、處理或利用,原則上均適用於本法。
個資法對中小企業之衝擊
參考國際個資法規範,日本個資法施行細則第2條將「得識別特定個人之個資,於過去六個月內均未曾超過五千人」,排除適用其個資法,而且若企業利用的個資類型僅有姓名、居住所或電話號碼,而未進行任何編輯加工者,不列入五千人範圍內。此排除規定,充分減輕對於小規模企業的成本負擔。
歐盟個資保護指令(Directive 95/46/EC)雖無類似排除小型企業適用的規定,但第10條資料蒐集者應提供予當事人相關資訊之規定,並未如同台灣個資法施行細則第16條,明確要求資料蒐集者須「個別」告知當事人本法羅列的各項告知事項,因此,在行為義務的規範密度上,亦有落差。
而台灣的個資法規定對於中小企業一體適用,施行細則訂出的11項適當安全維護措施,更是大幅提高企業對於個人資料安全管理的要求程度,對於中小企業更是一大衝擊。因此,對於中小企業而言,如何在資金、人力與管理制度有限的框架中,因應個資法,即為一大挑戰。
應認知個資法律責任風險
為協助中小企業瞭解重點遵循項目,我們先行分析個資法相關法律責任規定,對於中小企業的衝擊,以利中小企業迅速掌握法律風險 (表1)。 鑒於法律責任大幅提高,無論就賠償額度、行政監督強化或刑責風險,對於中小企業業務經營上,均帶來相當影響。因此,中小企業實務作業勢必因應個資法相關規定,就既有客戶資料、供應鏈廠商、合作特約商以及內部員工履歷檔案等的處理作業,相應調整現行管理機制。
表1:中小企業應認知之個資法法律責任風險
行為態樣
|
法律責任
|
刑事責任
|
欠缺蒐集(特種)個資之正當事由
|
1. 非意圖營利而違反本法規定者,將面臨2年以下徒刑、拘役或併科20萬元以下罰金
2. 意圖營利者,加重刑責至5年以下徒刑,並得併科100萬元以下罰金
|
欠缺為特定目的外利用之正當事由
|
違法從事國際傳輸命令
|
意圖為自己或第三人不法之利益或損害他人之利益,違法妨害個資檔案正確性
|
處5年以下徒刑,並得併科100萬元以下罰金
|
(本表格還有民事責任與行事責任相關的行為態樣及法律責任,完整表格刊載於《深入7大產業 解讀個資法》專刊)
應注意之法規遵循要項
以下分別從個資蒐集、處理及利用各階段,從中小企業角度檢視個資法暨施行細則共通性法規遵循要項 (表2),以法律責任風險為基礎,區分為重點遵循項目與強化方向兩大部分相互對照,前者以盡可能避免刑事與行政責任為訴求,後者則著重盡可能減少企業營業損失、降低企業經營風險或提升信譽,提供中小企業作為自我檢核參考依據。
表2:中小企業因應個資法之法規遵循項目
|
重點遵循項目
|
法律風險的考量
|
持續強化方向
|
蒐集
|
檢視保有之個資檔案類型,確認個資來源
|
確認保護範圍
|
進行各部門個資盤點,並確認原初蒐集個資之特定目的及個資利用情形,作為風險評估之基礎,並有助於針對資料屬性分類建檔,以利後續管理。
|
向新進員工告知有基於人事管理目的蒐集其個資,並告知其他應告知之事項,若有監看員工網路活動或公務電子信箱,應公告資訊使用政策
|
1. 蒐集新進員工履歷資料建議仍應進行告知
2. 企業若有監看員工網路活動,應公告資訊政策,否則有可能侵害員工個人之合理隱私期待,而負有民事責任,甚至可能違反通訊保障及監察法之規定而負有刑事責任
|
1. 確認應徵者履歷收件流程有無進行告知之必要
2. 檢視有無將員工個資提供予第三人及其目的,例如母公司、保險公司或關係企業,以完整、確實告知特定目的範圍與利用對象
|
除依勞工安全衛生法令蒐集員工一般體格檢查資料以外,並未蒐集其他特種個資
|
除非依法律規定,否則盡量降低蒐集與保有特種個資
|
若有必要進行背景調查,或有要求員工提供病歷診單以利差假或員工福利申請時,應併於聘僱契約告知有蒐集此類特種個資,並經員工書面同意(註1)
|
(本表格還有處理與利用的重點遵循項目,完整表格刊載於《深入7大產業 解讀個資法專刊》)
結語
中小企業無論就企業規模、資本額或經常雇員數,均少於大型企業,但因中小企業涵蓋行業眾多,個別企業仍應依其產業別特性,考量因應個資法之作業調整重點,以B2B製造業為例,因未直接接觸下游消費者,個資來源多為廠商聯絡人或業務窗口,法規遵循面向可能即以內部人事資料管理與供應鏈廠商個人資料之管理維護為主,然而,對於餐飲服務業或網購業來說,透過網路抽獎活動、發行會員卡或問卷調查等方式,蒐集消費者個人資料、從事行銷為重要業務項目,故應特別需要注意個資法關於行銷利用方面的作業規定。我們僅從較負有刑事責任風險,及較受到主管機關監督的行為項目,提供中小企業一個快速檢核法規遵循指標的方向。
註1:個資法第6條特種個資相關規定目前暫緩施行,未來擬新增「為維護公共利益所必要」與「經當事人書面同意」兩款例外狀況,為避免修法通過後還要再次調整表單,建議企業若有必要蒐集員工醫療紀錄或犯罪前科,應取得員工書面同意。
如您對《深入7大產業 解讀個資法》專刊有興趣,請來信詢問:isnews@newera.messefrankfurt.com,謝謝。
(本文作者現為國巨律師事務所律師)