觀點

個資法施行細則草案出爐 確立企業個資保護工作

2011 / 10 / 28
廖珮君
個資法施行細則草案出爐  確立企業個資保護工作

千呼萬喚,法務部終於在1027日公布新版個資法施行細則草案。草案預告期間自20111027119日共14日,社會各界可就修法內容表達意見或提供修正建議,法務部在彙整後,將會重新檢視與討論草案內容並定稿,希望能在年底前送交行政院審查,至於正式實施期間,則由行政院公告之。

 

 

 

 

修正重點搶先看

 

關於施行細則的修正重點,與法務部科長黃荷婷之前所闡述的內容差異不大,詳情請見〈新版個資法施行細則 最快2012年上路〉一文。此外,以下幾點也是本次施行細則草案的修正重點:

 

1.  個人資料檔案應包含備份檔案與軌跡資料;

 

2.  根據衛生署建議,明確區分出醫療、病歷與健康檢查的定義

(1)病歷:根據醫療法第67條定義,醫療構及其他各類醫事,醫事人員執行業務所製作之病歷或記錄

(2) 醫療:除了病歷以外,其他以治療、矯正或預防為目的,所做的診察、診斷及治療;或基於治療目的,所做的處方、用藥、施術、或處置等行為所產生之個人資料;

(3)健康檢查:指沒有明顯疾病症狀,不是為了治療特定疾病所做的診察行為。

 

之前曾經爆發某護士錄下孕婦生產過程的影片,這就屬於醫療類個人資料,再舉一例,某甲因為長期咳嗽而到醫院就診,醫生懷疑是否得了肺癌,要求某甲照胸部X光片,某乙則是因為公司安排的年度員工檢查,而到醫院照胸部X光片,同樣都是胸部X光片,前者就屬於醫療,後者則是健康檢查。

 

3.  明確列出11項適當安全維護措施:

(1) 成立管理組織,配置相當資源。(2) 界定個人資料之範圍。(3) 個人資料之風險評估及管理機制。(4) 事故之預防、通報及應變機制。(5) 個人資料蒐集、處理及利用之內部管理程序。(6) 資料安全管理及人員管理。(7) 認知宣導及教育訓練。(8) 設備安全管理。(9) 資料安全稽核機制。(10) 必要之使用紀錄、軌跡資料及證據之保存。(11) 個人資料安全維護之整體持續改善。

 

4.  明確定義何謂公務機關中的「專人」,並要求公務機關應理或安排專業教育訓練,讓專人具備辦理安全維護事項的能力。

 

做好法規遵循  企業前置工作不能少

 

資安顧問謝持恆認為,就施行細則草案來看,企業要做的準備工作變得更多了,舉例來說,該草案第5條修正了個人資料檔案的定義,應包含備份檔案及軌跡資料(此即Log),以往IT單位只會注意Log蒐集是否完整,比較不會考慮Log的處理運用,如今將Log列為個資的一部份,在處理運用上自然也要有相對應的管理機制,才能防堵風險。

 

另外,施行細則第8條談到委外管理的責任,要求委託人應對受託人為適當之監督,在草案中更明確地把監督事項列出來,共有六點:

1. 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其間。

2. 受託人就第九條第二項應採取之必要措施。

3. 有複委託者,其約定之受託人。

4. 受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。

5. 委託人對受託人保留指示之事項。

6. 委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。

 

過往,多數企業只會在委外合約上載明監督之責,卻未必真的會去做,如今個資法不但把監督事項列出來,更就第一項監督事項,要求委託人應定期確認受託人執行狀況,並將確認結果記錄下來,如此一來,委外監督就不能只是在合約上的文字,而是必須實際執行的工作。

 

新版個資法施行細則草案將母法中比較模糊或有爭議的條文,做了更清楚的說明,也更加確立了企業的個資保護責任,企業必須用更積極的態度來面對個資法,切莫抱持拖延敷衍心態,要知道個資外洩對企業造成的損失,不只是法律賠償還有商譽,企業商譽一旦有損,要再回復就不容易了,另一方面,有很多企業受到資源限制,即便有心想做好個資保護,卻又不知從何做起,也因此,我們呼籲各目的事項主管機關應儘速制訂配套子法,並加強宣導,輔導中小企業做更好的法規遵循。