個人資料保護法自去(2012)年10月1日正式施行已屆滿一年,儘管目前違反個資法的判例大多為少數的個人行為,但企業組織仍不能掉以輕心,金融產業主管機關金管會已對違反個資法的某金控與某人壽做出處罰。其實,企業是否違反個資法,不需主管機關進行調查,光是觀察其網站外顯資訊,即可得知其適法性如何。
資安顧問林政男統計50家知名網站上的「加入會員」、「人才招募」、「聯絡我們」及「行銷活動」等網站功能,對於個資法第八條要求之個資告知聲明的適法度(註)進行檢查,結果發現34%企業網站的「加入會員」適法狀態良好,而違法比例最高的則是「聯絡我們」功能,有76%受調查網站完全違法。若進一步以產業別來看,在「加入會員」的項目中,休憩旅遊業、出版零售業以及網路服務業為適法性較高的族群,而旅遊飯店業的違法比例最高。
(圖片來源:林政男提供)
林政男指出,許多企業在進行個資保護工作,往往會從個資含量最多、或風險最高的營運面開始執行,而忽略網頁上仍有沒注意到的個資進入點,因此建議企業應通盤考慮所有外顯個資進入點的可能性,除了確認符合個資法第八條免告知條件外,所有皆應進行適法性告知。且企業須知,完成網站外顯的法規告知只是因應個資法的其中一項工作,仍不代表滿足個資法所有要求。關於本項調查更多內容,請見「觀察企業個資法適法性從網站內容開始」一文。
(註):個資法第八條,直接蒐集需告知之六項要求:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。