觀點

個人資料保護之中庸之道- 個資保護之過與不及(中)

2015 / 10 / 13
歐弘詹 資安顧問服務部 專案經理
個人資料保護之中庸之道- 個資保護之過與不及(中)

上回提及了,個資法推行之困境後接下來將談談,個資保護之過與不及的現象。

個資保護之過與不及
組織欲推行個資保護措施,不外乎進行個資檔案盤點與風險評鑑、導入個資保護政策與管理制度,落實個資生命週期管理等幾個重要步驟,可以參考個資法施行細則第12條進行實作。當組織推行個資保護措施的過程中,遵循法規要求是重要的,但是適切適宜的運用也是有其必要性,不然倒是可以看到幾點怪現象。

1. 部份表單加註資料蒐集告知提醒,畫蛇添足
個資法施行之初,首批模範業者開始如火如荼的著手導入個資保護制度,並於各式表單末端增加個資蒐集、處理、利用之告知註解,並且隱含取得當事人之默認同意進行其資料蒐集、處理與利用,以呼應個資法第8條之告知行使規定。然而筆者認為若表單目的單純(例如:保密切結書、門禁登記簿等),當事人在填寫此類表單都清楚用途與目的,且組織不會將該表單之個人資料挪做其他用途,可引用同條(個資法第8條)當事人明知應告知內容之免告知例外管理項目,換言之,不須要於每一個常見用途表單都進行告知與同意提醒,以免造成表單的重點失焦。當然,遇到特殊狀況為證明有取得當事人同意或有額外的資料利用情形時,仍需確實進行告知並取得當事人同意,以符合法定要件。

2. 個資減量過度
「經濟合作暨發展組織」(OECD)所揭示之個資保護8大原則,提醒組織蒐集個資宜力求充分、相關且不過度,於是許多組織開始進行個資減量,以避免不必要的風險。原則上這是非常正確地做法,但卻須注意不可減量過頭而無法符合業務所需,例如:曾經有組織將保密切結書過度簡化,把身分證字號與戶籍地址等欄位刪除,只留姓名欄位,而造成真正要使用時,卻無法識別或歸責到特定個人,導致組織權益受損,也就是資料蒐集時,組織應考量在充分與不過度原則中取得平衡。

3. 未實施委外查核確認
近來已有許多組織導入個資保護管理制度,在筆者受託執行的個資稽核專案經驗發現,對委外廠商之監督查核是組織相對容易疏忽的項目,依據施行細則第8條規定「委託機關應定期確認受託者執行之狀況,並將確認結果記錄之」,特別是大型組織,許多單位與承辦人都可獨立發包委外專案,卻非每一位承辦人都瞭解本項規定,以致於本條款之落實容易被遺漏。

4. 委外查核過度、濫用稽核資源
與前項未實施委外查核的相反情況,曾經有過此案例,委外服務廠商被業主要求依施行細則第8條配合進行委外查核確認,然而實質檢視委外服務廠商與業主之合約內容並未涉及個資委外處理,僅有10多筆業主之聯絡窗口人員資料,經溝通後業主委託的律師仍堅持要蒞臨本公司查核,因合約中有規範廠商須配合資安查核,故予以配合辦理,惟在此需要釐清,受託蒐集處理業務所涉及個資與一般為執行特定目的履行合約所留存的必要個資情形不同,若擔心組織人員資料被受託廠商外洩可以進行資安查核,但並非適用施行細則第8條之委外查核,否則每個組織可能都要求去往來銀行查核確認,畢竟銀行蒐集最多組織人員的財務敏感資料,未來銀行將窮於應付各組織個資委外查核而無法專心提供核心服務。在此建議組織實施委外查核時應釐清範圍,以風險管理為導向,不宜看到影子就開槍,避免資源遭到濫用。

5. 個資法遭誤用
個資法施行之後,社會大眾對個資保護意識普遍提升,然而也有遭誤用的情況,曾經一則新聞報導,有一位人士留下遺書準備到飯店尋短,家人看到遺書之後匆匆趕到飯店,希望能在憾事發生之前阻止,經與飯店溝通之後,飯店以保護客人隱私的立場為由不肯提供客人訂房資料,結果錯失黃金救援時間,以悲劇收場。一般而言,飯店當然須要保護客人隱私資料,然而個資法第20條規範「為免除當事人之生命、身體、自由或財產上之危險得為特定目的外之利用」,在權衡一條人命損失與違反個資法賠償500~20000元,業者應該要有更聰明的做法。本新聞案例並非唯一,類似的案例仍然發生,建議相關主管單位應加強宣導正確觀念與做法。

筆者目前任職於安碁資訊股份有限公司

下回預告: 將分享個資法未來修訂建議,大家參考,敬請期待。