觀點

個人資料保護之中庸之道-個資法未來修訂建議

2015 / 10 / 14
歐弘詹 資安顧問服務部 專案經理
個人資料保護之中庸之道-個資法未來修訂建議

上回提及了,個資法推行之困境以及個資保護之過與不及的怪現象後,最後筆者將分享個資未來修訂的建議方向,給大家參考。


個資法未來修訂建議
汽車在最近一、二個世紀普及,交通規則也應運而生,駕駛人為了避免爭先恐後而導致交通堵塞,願意犧牲等待紅燈的時間,以換取更快速到達目的地,中間的取捨並非絕對利益考量,而是相對利益的做法。近年來科技發達、網路普及、智慧連網設備平價化,資料應用與網路傳輸無遠弗屆,個人資料取得容易,伴隨而來資料遭到濫用的程度也前所未有之嚴重,個資法的推行有其時代的必要性,然而世界各國亦在摸索,如何在資料應用與個資保護中取得平衡,保障社會大眾的相對利益,以下提供幾點未來修法上的建議:

1. 擬定個資數量適用範圍
在日本個資法有5000筆以上適用的門檻,據瞭解美國也開始朝這個方向修法,用以增加一些小型活動作業彈性,並非5000筆以下的個資就不重要,而是以風險管理的角度來思考。5000筆以上個資若發生事故,對社會安定影響較大,需要特別規範安全保護措施,5000筆以下個資,可由組織視資料敏感程度自行保護管理,若有損害到資料當事人權益,亦可回歸民法損害賠償。

2. 刪除蒐集、處理限制,針對利用行為加以規範
在<<總裁獅子心>>一書中,嚴長壽先生提及為了令客人感到賓至如歸,飯店特別注意蒐集客人的生活習慣,以便在下次客人蒞臨時,提供客製化服務,令客人倍感溫馨,進而增加飯店回客率,這樣的經營方式對客人與飯店都有正面的幫助;例如,消費者在網路購書,網路服務業者可精準推薦消費者想要買的書,可節省不少選購時間。這些業者為提供客製化服務而蒐集客戶個資的行為,在現行個資法規範下需要先取得客戶同意,然而筆者認為這是多此一舉了。俗語說,打蛇打三寸、擒賊先擒王,個資法施行主要目的在於促進資料合理使用,避免資料遭濫用而侵犯當事人權益,許多資料蒐集、處理與利用行為對當事人是有助益的,不宜為部份濫用個資侵犯當事人權益的情況而因噎廢食,或許對於利用行為加以約束,懲罰個資不當利用與誤用之情事,鬆綁資料蒐集與處理活動規範,反而能保障民眾獲取更高之相對利益。

3. 何謂個資作業委外宜更明確定義
某些銀行將信用卡業務行銷委外辦理,受託單位以銀行名義代表處理大量客戶個人資料,這種情況銀行的確有必要依施行細則第8條進行委外監督確認,畢竟業務可以委外,但責任不能委外。然而在其它一些狀況,例如:資訊系統委外採購,委外廠商測試過程而接觸到個資,組織需不要需依法確認廠商個資保護作業執行狀況?換言之,組織什麼時候需要依施行細則第8條進行委外作業確認並記錄相關活動,應該更明確定義才能據以遵循。筆者建議此項委外查核確認活動,宜規範之情況以委外廠商代表業主(以業主名義)對外蒐集、處理與利用個資活動為主,以避免委外查核權利與資源濫用。

4. 落實賠償機制
雖然我們不希望因為個資法過於嚴厲的罰則而影響一個正常組織的營運,卻也不樂見組織完全忽略應有的隱私權保護責任,造成大量民眾權益受到侵犯而引起社會問題,建議立法及執法單位本著勿枉勿縱精神,就情節嚴重的個資事故組織予以重罰,以收殺雞警猴之效,遏止不法情事之蔓延。

結語
綜上所述,個資保護的因應之道在於取得管理上之平衡。雖然目前個資法之施行,尚有一些爭議與模糊地帶,例如:學校製作畢業記念冊是否需取得當事人同意?未來除了組織導入個資保護再三的檢視及調整外,許多個資蒐集、處理與利用活動建議以常理心看待,針對侵犯當事人權益的利用情況加以規範,可保有許多作業上的彈性並避免許多爭議等等。總之,過與不及皆不能保障民眾最大的利益,必須在社會進步與外在環境變化的過程中尋求一個均衡點。

筆者目前任職於安碁資訊股份有限公司

延伸閱讀:
第一篇:
個資法推行之困境(上)
第二篇
: 個資保護之過與不及怪現象(中)