宋范翔律师
要做好个人资料的保护,基本上有赖于科技、管理与法律三大要素的结合与有效运作。科技;指与个人资料蒐集、处理与利用有关之软、硬体技术与设备等。管理;指为使个人资料与资讯之运用,达成组织政策与目标之手段与方法。法律;指与个人资料保护有关之法令规章之遵循。
正确的认知与心态
为了做好个人资料的保护,在执行时,应首先建立良好的认知与心态,并遵守几个基本原则,但是在实务上,常耳闻以下的声音:
◇ 只要将资讯安全做好了,就不会有个资外泄问题,自然不会有个资违法的责任?
◇ 组织已通过个人资料或隐私权相关的管理认证或标章,自然符合个资法要求,无违法之疑虑?
◇ 个资法要求感觉很严格,似懂非懂,最好的方式就是不要分享或是不要利用,自然不会有违法问题?
然而以上的认知并不正确,常导致组织运作出现问题。
就科技设备的防护而言,虽然密不透风的管制,让个资外泄的机率降到最低,或许可达到资讯安全的要求,但个人资料的运用却未必适法。
通过或取得个资或隐私权的相关验认证或标章(BS10012个人资讯管理系统、TPIPAS台湾个人资料保护与管理制度规范及dp.mark 资料隐私保护标章、ISO29100个人隐私保护框架规范等),可说明在抽检(样)的稽核方法下,组织符合相关管理的规范要求,但并不表示法律责任的免除,或没有适法的疑虑。
个资法相关规定是否妥适,是否仍有改进空间,虽值得讨论,但该法并非一味的限制个人资料的运用,而是为规范个人资料之蒐集、处理及利用,以避免人格权受侵害,并促进个人资料之合理利用(个资法第1条)。对法条望文生义,自行解释运作,或消极的不适用,除阻碍组织的运作,亦可能影响当事人之权益。积极、合理的作法,应当寻求法律专业人士,例如律师的协助,以避免法律的风险。
落实个资保护工作
为了做好个人资料保护的工作,首先要做好个人资料盘点。
个人资料盘点是最基础,也是最重要的工作,应该下足功夫,但因为过程繁琐或不明了如何盘点,造成有些组织或单位抗拒的心态、无法贯彻,而有个资风险的问题。组织可依需要设计适用的个人资料盘点表或类似功能者;它是一种工具,可以显示特定目的及保有依据等等的讯息,盘点中可检视个人资料是否过度蒐集、不当处理或不合法利用,做为管理改进及适法性之遵行。盘点工作越确实,越能让组织有效掌握个资的运用。
另一个基础工夫,则是针对个人资料进行风险的冲击分析与评估。
个资的风险冲击分析与评估,是一种技术,组织也可依照需求而设计。注意风险的来源,个资的种类,组织的能力,以及法规的要求,对于风险相关数值的建立,都应该列入考量。值得留意之处,依据我国个资法,有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料为特种个资(个资法第6条),一般咸认为风险较高。惟,范围却比BS10012:2009第2.1.12条所谓敏感性个人资讯为窄;例如,种族、政治立场、宗教信仰、工会会籍等等,即非我国个资法上的特种个资,因此没有原则上不得蒐集、处理或利用之问题。个资法第6条原参考1995年欧盟资料保护指令(95/46/EC)、德国联邦个人资料保护法第1条及奥地利联邦个人资料保护法等外国立法例而制定,审酌参酌我国国情与民众认知仅将上述六种特种个资列入(个资法第6条101年10月1日、105年3月15日施行修正条文说明参照)。但今日许多时事案例,多与种族、政治、宗教、工会等有关,组织应适时评估其所带来之冲击,规划制定适切方案。
再来就是建立一套可行、有效且适法的个人资料管理系统制度。
个人资料需要系统方式的管理,无论基于何种规范,例如BS10012个人资讯管理系统,建立这样的制度有其必要性,理由在于,个人资料的蒐集、处理与利用,仅依赖承办人员个人的认知、能力与敬业,仍嫌不足而难以承担整个组织及个资拥有者本人之要求,尤其若不能将正确、适当的法令要求,融入整个组织的运作,除消耗成本、造成错误与浪费外,更易陷违法之处境,致使组织运作不良、纷争不断,政策难以贯彻、目标难以达成,因此管理制度应用心建立、切实执行,并依循PDCA (Plan, Do, Check, Act)方法,持续改善。
最后是加强科技软硬设施与技术。
此部份不仅在于提升效率、减少错误,更有资讯安全维护的目的。个资法第18条及第27条,分别规定了公务机关及非公务机关应进行个人资料安全维护,个资法细则第12条则提供了公务机关或非公务机关有关的安全维护事项或措施的进一步规定,从适当的技术上及组织上的措施,以防止个资被窃取、窜改、毁损、灭失或泄漏。然而,就现今大量的个人资料无法仅凭人工方式来蒐集、处理及利用,势必依赖电脑及相关资讯科技的协助,对于相关软硬体的要求与投入,更显出其重要性。若能结合ISO27001资讯安全管理系统推动与认证,将更有助于资讯安全维护的提升,促进资讯的机密性confidentiality、完整性integrity与可用性availability (ISO27001:2013条文0.1概述参照),形成完善的个人资料保护,避免组织经营管理危机与法律风险。
总之,建立良好的心态与认知,投入适当资源,寻求专家的协助,落实执行,将科技、管理与法律三大要素做系统化的结合与有效的运作,才能达成个人资料保护之目的。
(本文章及其内容未经作者授权不得使用)
