千呼萬喚,法務部終於在10月27日公布新版個資法施行細則草案。草案預告期間自2011年10月27日至11月9日共14日,社會各界可就修法內容表達意見或提供修正建議,法務部在彙整後,將會重新檢視與討論草案內容並定稿,希望能在年底前送交行政院審查,至於正式實施期間,則由行政院公告之。
修正重點搶先看
關於施行細則的修正重點,與法務部科長黃荷婷之前所闡述的內容差異不大,詳情請見〈新版個資法施行細則 最快2012年上路〉一文。此外,以下幾點也是本次施行細則草案的修正重點:
1. 個人資料檔案應包含備份檔案與軌跡資料;
2. 根據衛生署建議,明確區分出醫療、病歷與健康檢查的定義
(1)病歷:根據醫療法第67條定義,醫療機構及其他各類醫事機構中,醫事人員執行業務所製作之病歷或記錄;
(2) 醫療:除了病歷以外,其他以治療、矯正或預防為目的,所做的診察、診斷及治療;或基於治療目的,所做的處方、用藥、施術、或處置等行為所產生之個人資料;
(3)健康檢查:指沒有明顯疾病症狀,不是為了治療特定疾病所做的診察行為。
之前曾經爆發某護士錄下孕婦生產過程的影片,這就屬於醫療類個人資料,再舉一例,某甲因為長期咳嗽而到醫院就診,醫生懷疑是否得了肺癌,要求某甲照胸部X光片,某乙則是因為公司安排的年度員工檢查,而到醫院照胸部X光片,同樣都是胸部X光片,前者就屬於醫療,後者則是健康檢查。
3. 明確列出11項適當安全維護措施:
(1) 成立管理組織,配置相當資源。(2) 界定個人資料之範圍。(3) 個人資料之風險評估及管理機制。(4) 事故之預防、通報及應變機制。(5) 個人資料蒐集、處理及利用之內部管理程序。(6) 資料安全管理及人員管理。(7) 認知宣導及教育訓練。(8) 設備安全管理。(9) 資料安全稽核機制。(10) 必要之使用紀錄、軌跡資料及證據之保存。(11) 個人資料安全維護之整體持續改善。
4. 明確定義何謂公務機關中的「專人」,並要求公務機關應辦理或安排專業教育訓練,讓專人具備辦理安全維護事項的能力。
做好法規遵循 企業前置工作不能少
資安顧問謝持恆認為,就施行細則草案來看,企業要做的準備工作變得更多了,舉例來說,該草案第5條修正了個人資料檔案的定義,應包含備份檔案及軌跡資料(此即Log),以往IT單位只會注意Log蒐集是否完整,比較不會考慮Log的處理運用,如今將Log列為個資的一部份,在處理運用上自然也要有相對應的管理機制,才能防堵風險。
另外,施行細則第8條談到委外管理的責任,要求委託人應對受託人為適當之監督,在草案中更明確地把監督事項列出來,共有六點:
1. 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其間。
2. 受託人就第九條第二項應採取之必要措施。
3. 有複委託者,其約定之受託人。
4. 受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。
5. 委託人對受託人保留指示之事項。
6. 委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。
過往,多數企業只會在委外合約上載明監督之責,卻未必真的會去做,如今個資法不但把監督事項列出來,更就第一項監督事項,要求委託人應定期確認受託人執行狀況,並將確認結果記錄下來,如此一來,委外監督就不能只是在合約上的文字,而是必須實際執行的工作。
新版個資法施行細則草案將母法中比較模糊或有爭議的條文,做了更清楚的說明,也更加確立了企業的個資保護責任,企業必須用更積極的態度來面對個資法,切莫抱持拖延敷衍心態,要知道個資外洩對企業造成的損失,不只是法律賠償還有商譽,企業商譽一旦有損,要再回復就不容易了,另一方面,有很多企業受到資源限制,即便有心想做好個資保護,卻又不知從何做起,也因此,我們呼籲各目的事項主管機關應儘速制訂配套子法,並加強宣導,輔導中小企業做更好的法規遵循。