「個人資料保護法」(以下簡稱個資法),在4/27終於修法三讀通過,在筆者的記憶中個資法修法的議題已經討論多年了,經過多次討論反覆修改才定案,那究竟什麼是個資法,三讀通過對我們企業的營運又會有什麼影響呢?
首先,我們要先了解「個人資料保護法」所保護的標的物是甚麼?沒錯,顧名思義就是”個人資料”。假設若以台灣為數最多的中小企業來說,事實上大多數企業所擁有的”個人資料”並不多,除了企業本身的員工資料外,也極少會有蒐集個人資料的行為;但對於零售業、買賣流通業或是服務業來說,不但企業內一樣會有員工的個人資料,更可能會有為數眾多且龐大的客戶資料。其他如知名的大型平台業者、醫療產業甚至電信三雄等電信服務業者等,其所持有個客戶資料當然更而甚之,若您的企業屬於有蒐集個人資料的產業類型,那就直接是與個資法有衝擊影響的重點產業。
所以,企業對個人資料應該先有一定的了解,甚麼是個人資料?
根據新通過的個資法第一章第二條第一項,個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別個人之資料。
從這部分就可以了解其中所包含的範圍相較於現行法,已經大幅擴大所涵蓋的個人資料種類,特別是將部分更為私密的隱私資料納入(其中如醫療、基因、性生活、健康檢查、及犯罪前科等又特別在第一章第六條中明訂原則上不得蒐集、處理與利用),對個人資料的當事人來說也能獲得更全面的保障。
在現行的「電腦處理個人資料保護法」中第一條:為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。修改過後的「個人資料保護法」第一條:為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合法利用,特制定本法。
從新舊法第一條開宗明義的定義來看,可以看出施行多年的現行法事實上有相當大的盲點,舊法無法保護到”非經電腦處理”之個人資料,且有受限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等特定產業,新的個資法在這部分做了相當大的修正,將方向轉變為保護標的本體而非特定形式,產業限制同時也予以破除,僅有公務機關與非公務機關之分別,避免了畫地自限,進而大幅提升保護個人資料安全的功能。
回到實務上來看,近來個資法的議題吵得沸沸揚揚,已經不只一家的企業用戶請筆者協助因應個資法的”資安規劃”,應該很多人都會有疑慮,究竟怎樣的資訊安全架構才能符合個資法的要求?筆者建議若要從這個方向思考,或許換一個角度,先檢視我們企業中,有哪些資訊跟個資法是直接相關且需要保護的呢?
筆者認為,個資法和其他的資安標準或規範,其差異在於個資法相對於資安標準或規範具備有強制要求性。相似之處,在於都會告訴我們“該要做甚麼?(What)”卻不會告訴我們“該要怎麼做(How)”,而因此許多的企業主會感到徬徨,但這部分事實上也給與了我們在保護個資時實際執行上的彈性,畢竟保護好個資是修訂此法的最終目的,不管採用何方式,只要能保護好個人資料,那就是值得採行的方式,而並未強制要求要選用怎樣的技術或產品,這點提供給企業在面對市面上資訊廠商一股腦提出琳瑯滿目的個資法之對應解決方案時的參考。
講到這邊可能會有一個疑慮:個人資料相關的範圍那麼廣,那有沒有排外的部分呢?事實上是有的,第六章第五十一條中有兩點不適用個資法:
- 自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。
- 於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。
之前討論很熱烈的是在很火紅的facebook上,刊載自己與好友的照片是否會違反個資法?看到這邊應該就可以放心了,一般的個人與家庭活動並不會違反個資法的。
另外本次的修法有重點在於所謂的個人資料當事人對於其個人資料是有權進行要求的,比方若當事人對擁有個資的單位提出以下要求,不得有特殊限制或預先拋棄之。
另外本次的修法有重點在於所謂的個人資料當事人對於其個人資料是有權進行要求的,比方若當事人對擁有個資的單位提出以下要求,不得有特殊限制或預先拋棄之。
- 查詢或請求閱覽。
- 請求製給複製本。
- 請求補充或更正。
- 請求停止搜集、處理或利用。
- 請求刪除。
以上得知,這部份修正比較起現行法,個人資料的當事人對自己的個人資料有了更多的掌握性與主導性。
最後,我們來討論一下企業在個人資料保護的作法,在熟悉資訊安全管理系統(ISMS)的管理者都會很熟悉須先將資訊資產定義出來。同樣的,以個資法來說企業首先就是要先找出其所擁有的資訊資產,在此也就是所謂的”個人資料”,如前所述,可簡單分為單純僅有員工資料及具有員工資料及客戶(廠商)資料兩種。而個人資料會有以下之過程是企業要著力去關注的
蒐集:指以任何方式取得個人資料。
處理:指為建立或利用個人資料檔案所謂資料之紀錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
利用:指將蒐集之個人資料為處理之外之使用。
處理:指為建立或利用個人資料檔案所謂資料之紀錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
利用:指將蒐集之個人資料為處理之外之使用。
也就是說企業在保護個人資料的焦點,就是要注意以上的蒐集、處理與利用的過程,即可初步審視出自我是否能符合新個資法的規格。當然,這只是初步,後續還是有很多值得討論與實務應用面的空間與彈性,相信隨著時間的演進,會讓我國的個人資料保護逐步跟上國際間的水準。
文章來源:范肇鈞
資料來源:企業通電子報
資料來源:企業通電子報
沒有留言:
張貼留言