企業因應個資法的困難與挑戰

日前，行政院院長陳冲上任後才10天，他就在行政院會上指示，法務部限期提出《個人資料保護法》（簡稱個資法）爭議法條的評估報告。因為這個2年前公布的法案，因立法過嚴引發了企業很大的反彈聲浪，遲遲未能正式施行。

原本法務部就提出提議，希望能暫緩實施個資法部分有爭議的條文，其他部分先施行，但陳冲要求法務部參考包含金融界等各界意見，就相關問題、因應對策及後續處理建議，於2個月內完成評估報告。

法務部法律事務司副司長鍾瑞蘭表示，預計在4月中提出行政院要求的評估報告後，屆時才可能會一併將個資法施行細則送進行政院進行審查，但整體尚未有明確的時間表。

以隱私權保護為核心精神的新版個資法，對安全防護的種種要求，更勝一般人對資訊安全的認知，也對企業有更嚴格的規範，舉凡從個人資料的蒐集、處理、利用、國際傳輸到銷毀的每個過程都納入規範，也不拘形式，不論是數位或是紙本個資都在管制範圍之列，法條影響層面之廣，遍及企業各種業務行為和內部運作。

企業違反個資法時的求償金額最高可達2億元，企業負責人也要面臨刑責。執行難度高又罰則重，因此個資法尚未正式施行之前，企業界就抱怨連連。

因應個資法的困難與挑戰

對企業而言，除了法務部門以外，個資法也對IT部門產生很大的衝擊，個資保護成為IT部門的新責任和挑戰。

臺灣BSI總經理蒲樹盛表示，因為臺灣企業對IT依賴程度越來越高，也有越來越多的個人資料是以電子資料形式呈現，所以，在面對個資保護的議題時，很多企業會「自然而然地」因為公司擁有許多電子形式的個人資料，就把個資保護相關議題的因應，直接交由IT部門負責。

根據「iThome 2012年CIO大調查」的調查結果，目前有36％的企業已經開始因應個資法，另外有27.6％企業預計等施行細則公布後再開始因應，有16.8％的企業希望等到公布實施時間後再開始因應，有14.9％的企業要等到個資法正式實施後才開始因應。另外有2.2％的企業則希望等到有訴訟案例後，確認法院判決輕重後再開始因應。

有不少已經開始因應個資保護或評估的企業IT主管發現，這個新挑戰比想像中更大。

根據「iThome 2012年CIO大調查」的調查結果，多數企業IT主管認為，個資法所面臨的困難與挑戰，困難度最高的是「個資分散在各部門」（39.8％），其次為「因應個資法為視為只是IT部門的責任」（37.7％），第三名是「缺乏一勞永逸的因應作法」（30.2％），第四名為「高階主管對個資法的了解不足」（26％），第五名則是「投入的人力和資源不足」（23％）。

若從各產業面來看，金融業因應個資法難度最高前三名為：「個資分散各部門」、「投入的人力與資源不足」「因應個資被視為IT部門的責任」；高科技製造業面臨的困難則是：「高階主管對個資法的了解不足」、「個資分散各部門」及「因應個資法被視為IT部門的責任」；一般製造業的困難為：「因應個資被視為IT部門的責任」、「缺乏一勞永逸的作法」及「高階主管對個資了解不足」。

至於服務業因應個資法面臨的前三大挑戰則是：「個資分散各部門」、「缺乏一勞永逸的作法」及「因應個資被視為IT部門的責任」；醫療業則擔心「個資分散各部門」、「個資數量太多」及「紙本資料太多」；政府與學校因應個資法則擔心「因應個資法被視為IT部門的責任」、「個資分散各部門」及「投入的人力與資源不足」。

從企業的業務流程來看，每一個部門都可能擁有個資，加上過往長期累積的各種個人資料，不曾經過盤點，就不會知道擁有的個資數量有多少；而且這次個資法也納入紙本個資在保護範圍內，所以企業最擔心幾個議題，包括「個資數量太多」「個資分散各部門」、「紙本資料太多」甚至是「缺乏一勞永逸的作法」等，都是可以想見的。

不過，從各產業的前三項最擔心事件中可以發現，「因應個資保護被視為IT部門的責任」這個選項，除了是醫療業的第四名選項外，其他產業都是名列前三名。

臺灣勤業眾信副總經理萬幼筠表示，從風險的角度來看企業如何因應個資法，主要關鍵點在於，企業應該要做到多好的法規遵循程度，以及企業本身是否有能力、有資源做好相關的法規遵循工作。

IT部門只能滿足部分個資法條文的要求

不過，企業內擁有的電子資料形式的個資，只是所有個資的部分資料，新版個資法更納入紙本個資作為保護標的。由此看來，IT部門真的適合作為企業因應個資法的單位嗎？

達文西法律事務所主持律師葉奇鑫表示，過去1年多來，他在臺灣各地演講、進行個資法教育訓練和宣導，大約有7成的演講邀約都是由IT部門主導。以他的經驗來看，負責聯繫個資法演講和教育訓練行程的單位，往往都是企業內負責因應個資法的核心部門。

尤其是個人資料已經高度電子化的產業，例如之前受到《電腦處理個人資料保護法》規範的8大行業及指定適用行業，企業非常容易指定IT部門作為因應個資法的部門。

先前有家銀行的資訊部副理表示，該銀行由IT部門負責因應個資法。原先銀行內部考慮由法務和IT部門先凝聚共識後，再選擇一個單位負責因應個資法，但最後，「IT部門猜拳猜輸，」他說，因為IT部門先前有控管《電腦處理個人資料保護法》的電子個資，並且取得ISO 27001資訊安全管理系統認證。所以在新版個資法擴大保護客體後，該銀行便覺得，選擇IT部門作為因應新版個資法的單位，是省事且不需再大費周章的選擇。

個資法對企業而言，是一個很強法規遵循的驅動力，所有企業的因應對策，都必須滿足個資法母法和相關施行細則規範。理律法律事務所合夥律師曾更瑩表示，以新版個資法母法共56條規定來看，IT部門能夠滿足的條文規範有4條，包括第3條「當事人個資相關權利」，第11條「公務機關和非公務機關維護個人資料之正確性」，第21條「非公務機關國際傳輸個資的安全性」和第27條「非公務機關保有個資應採行的適當安全維護措施」。也就是說，在個資的蒐集、處理、利用、國際傳輸到銷毀的過程中，IT部門可以花比較大的心力在個資處理、國際傳輸和銷毀上。

曾更瑩指出，他們的客戶大部分是外商、跨國企業和大型企業等，在有個資法時的疑問時，經常是由法務部門扮演聯繫窗口，彙整各部門在因應個資法時，是否有某個作業流程需要因應個資法進行調整，但她坦言，可能是法務部門被動、守成的特性，加上多數法務部門人少、資源也少於其他部門，所以目前企業內以法務部門作為個資法因應部門的比例很少。她不諱言，人性其實是怕承擔責任的，尤其是要負擔這麼重大的法律責任時，能推給其他更有資源、能承擔的部門更好。

雖然，在個資法母法規範下，IT部門能夠著力的條文不多，但是葉奇鑫認為，根據個資法施行細則草案的規畫，有許多都是IT部門可以執行的工作內容，尤其是施行細則第9條所規定的11項安全維護措施中，除了第1項的「成立管理組織，配置相當資源」應該由組織高層負責，第2項「界定個人資料的範圍」第7項「認知宣導及教育訓練」和第11項「個人資料安全維護之整體持續改善」可以由IT部門和其他包括法務與業務部門一起執行。

至於第3項「個人資料之風險評估及管理機制」、第4項「事故之預防、通報及應變機制」、第5項「個人資料蒐集、處理及利用之內部管理程序」、第6項「資料安全管理及人員管理」、第八項「設備安全管理」、第9項「資料安全稽核機制」和第10項「必要之使用紀錄、軌跡資料及證據之保存」等項目，他說，全部都是IT部門責無旁貸的工作項目。

總經理帶頭推動個資保護效果最好

「上行下效、風行草偃」，雖然IT部門經常是企業指派因個資法的單位，但個資法是一個和全公司部門和流程有關的法案，蒲樹盛認為，成立一個跨部門的「個資保護管理委員會」或者是「個資保護推動小組」等單位，每個部門都指派部門代表加入這樣的組織，在這樣的單位運作下，去解決跨部門所遇到的個資保護難題。

跨組織的個資保護委員會是一個可以凝聚共識和討論事情的地方，不過，由誰擔任這個委員會的發起人，攸關該公司對個資保護的重視程度。萬幼筠指出，有些公司會指派副總層級以上的高階主管擔任發起人，看重的就是具有足夠的授權，可以進行跨部門的溝通協調。臺灣安麗公司就是直接是由總經理陳惠雯擔任發起人的角色，「由總經理出馬擔任個資保護委員會發起人的宣示效果，更清楚彰顯出，公司的確將個資保護列為企業營運的最優先項目之一。」萬幼筠說。

此外，曾更瑩也建議，可以仿效國外制度，增設個資保護的隱私長一職。她認為，隱私長必須具有副總層級以上，才有跨部門組織溝通協調的實權，但隱私長最重要的任務在於，不只要懂得個資法精髓，還要能夠扮演業務流程與系統單位中間的溝通橋樑，讓組織個資保護的這件事情，能夠在潛移默化中，成為公司的企業文化。

臺灣BSI總經理蒲樹盛表示，因為越來越多個資以電子資料形式呈現，所以企業會「自然而然地」把個資保護議題交由IT部門負責。

臺灣勤業眾信副總經理萬幼筠表示，由總經理出馬擔任個資保護委員會發起人，更清楚彰顯出公司將個資保護列為企業營運的最優先項目之一。

相關報導請參考「個資法不只是IT部門的事」