續「資訊安全」之後,這一兩年最常被人提出討論的就是《個人資料保護法》(簡稱「個資法」)了!我國為了補強《電腦處理個人資料保護法》之不足,更加周延保障人民之權益,經過漫長的修法程序,新版的個資法已於2010年5月經總統公告,並交由行政院議定施行細則。
因立法過於嚴引發企業很大的反彈聲浪,遲遲未能正式施行,法務部亦曾提出建議希望能暫緩實施個資法部分有爭議之條文,其他部分先施行,雖整體尚未有明確的時間表,然影響層面之廣泛,不單公務機關、私人企業,甚至一般民眾都應有正確之認識,以便提早因應。
■何謂個資(企業需要保護哪些個資?)
以隱私權保護為核心精神的新版個資法,對安全防護的要求,勝過一般人對資訊安全的認知,也對企業有更嚴格的規範,舉凡從個人資料的蒐集、處理、利用、國際傳輸到銷毀的每個過程都納入規範,也不拘限形式,即不論是數位或是紙本個資都在管制範圍之列,不僅擴大適用對象及保護範圍,同時也提高處罰額度。【圖:本文作者林恩德先生】
新版個資法之適用對象普遍擴及所有公民營機關及個人。所謂個人資料,乃指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料,皆屬於個資法的保護範圍。其關注焦點有兩個層面:首先是如何維護個人隱私,其次則是如何落實個人資料保護。
■個資法實施後企業如何因應?
參考英國BS10012個資保護標準的10大實務作法:
作法1:形成內部共識,制訂個資保護政策。
作法2:進行個人資料盤點,確定範圍。
作法3:進行隱私權衝擊分析。
作法4:分析業務活動資料熱點和關鍵環境。
作法5:釐清個資權責和所有權。
作法6:評估個資存放系統的風險是否獲得控管。
作法7:部署合適個資保護與監控的工具。
作法8:記錄與保存個資資訊流向和軌跡。
作法9:重新審視委外合約以符合《個人資料保護法》規定。
作法10:檢視企業的個資防護訴訟策略。
新版的個資法比過去法規更嚴厲,若違反個資法,不衹企業面臨更高的罰則,連老闆及員工都會受罰,甚至還要入獄服刑。在面對個資法的衝擊及落實個人資料保護時,除參考上述10個作法外,還有以下幾個須注意的關鍵:
‧最低管轄數量及最小權限:機敏看到越少,保護責任越小。
‧個人可行使權利:企業為滿足個人請求,勢必得改變流程。
‧告知義務:個資蒐集或利用前須告知當事人。
‧利用限制:利用個資須符合特定目的。
‧有效同意:書面同意須用紙本,不能用電子文件。
‧現有顧客資料:不是向顧客蒐集的個資,沒告知前無法使用。
‧罰則:求償金額最高2億,企業主最多5年刑責。
‧企業舉證責任:企業必須自行舉證沒有違反個資法,以善盡保護之責。
IT(Information Technology)部門僅能滿足部分個資條文的要求,所以個資保護不衹是IT部門的事,故無論是公務機關或私人企業,均應加強內部所有員工相關法令及保密等宣導,並落實安全維護事項,防止個人資料或檔案被竊取、竄改、毀損、滅失或洩漏,方為保護個人資料的根本之道。(文/林恩德,資訊處網路組組長)