日前,行政院院長陳冲上任後才10天,他就在行政院會上指示,法務部限期提出《個人資料保護法》(簡稱個資法)爭議法條的評估報告。因為這個2年前公布的法案,因立法過嚴引發了企業很大的反彈聲浪,遲遲未能正式施行。

原本法務部就提出提議,希望能暫緩實施個資法部分有爭議的條文,其他部分先施行,但陳冲要求法務部參考包含金融界等各界意見,就相關問題、因應對策及後續處理建議,於2個月內完成評估報告。

法務部法律事務司副司長鍾瑞蘭表示,預計在4月中提出行政院要求的評估報告後,屆時才可能會一併將個資法施行細則送進行政院進行審查,但整體尚未有明確的時間表。

以隱私權保護為核心精神的新版個資法,對安全防護的種種要求,更勝一般人對資訊安全的認知,也對企業有更嚴格的規範,舉凡從個人資料的蒐集、處理、利用、國際傳輸到銷毀的每個過程都納入規範,也不拘形式,不論是數位或是紙本個資都在管制範圍之列,法條影響層面之廣,遍及企業各種業務行為和內部運作。

企業違反個資法時的求償金額最高可達2億元,企業負責人也要面臨刑責。執行難度高又罰則重,因此個資法尚未正式施行之前,企業界就抱怨連連。

因應個資法的困難與挑戰

對企業而言,除了法務部門以外,個資法也對IT部門產生很大的衝擊,個資保護成為IT部門的新責任和挑戰。

臺灣BSI總經理蒲樹盛表示,因為臺灣企業對IT依賴程度越來越高,也有越來越多的個人資料是以電子資料形式呈現,所以,在面對個資保護的議題時,很多企業會「自然而然地」因為公司擁有許多電子形式的個人資料,就把個資保護相關議題的因應,直接交由IT部門負責。

根據「iThome 2012年CIO大調查」的調查結果,目前有36%的企業已經開始因應個資法,另外有27.6%企業預計等施行細則公布後再開始因應,有16.8%的企業希望等到公布實施時間後再開始因應,有14.9%的企業要等到個資法正式實施後才開始因應。另外有2.2%的企業則希望等到有訴訟案例後,確認法院判決輕重後再開始因應。

有不少已經開始因應個資保護或評估的企業IT主管發現,這個新挑戰比想像中更大。

根據「iThome 2012年CIO大調查」的調查結果,多數企業IT主管認為,個資法所面臨的困難與挑戰,困難度最高的是「個資分散在各部門」(39.8%),其次為「因應個資法為視為只是IT部門的責任」(37.7%),第三名是「缺乏一勞永逸的因應作法」(30.2%),第四名為「高階主管對個資法的了解不足」(26%),第五名則是「投入的人力和資源不足」(23%)。

若從各產業面來看,金融業因應個資法難度最高前三名為:「個資分散各部門」、「投入的人力與資源不足」「因應個資被視為IT部門的責任」;高科技製造業面臨的困難則是:「高階主管對個資法的了解不足」、「個資分散各部門」及「因應個資法被視為IT部門的責任」;一般製造業的困難為:「因應個資被視為IT部門的責任」、「缺乏一勞永逸的作法」及「高階主管對個資了解不足」。

至於服務業因應個資法面臨的前三大挑戰則是:「個資分散各部門」、「缺乏一勞永逸的作法」及「因應個資被視為IT部門的責任」;醫療業則擔心「個資分散各部門」、「個資數量太多」及「紙本資料太多」;政府與學校因應個資法則擔心「因應個資法被視為IT部門的責任」、「個資分散各部門」及「投入的人力與資源不足」。

從企業的業務流程來看,每一個部門都可能擁有個資,加上過往長期累積的各種個人資料,不曾經過盤點,就不會知道擁有的個資數量有多少;而且這次個資法也納入紙本個資在保護範圍內,所以企業最擔心幾個議題,包括「個資數量太多」「個資分散各部門」、「紙本資料太多」甚至是「缺乏一勞永逸的作法」等,都是可以想見的。

不過,從各產業的前三項最擔心事件中可以發現,「因應個資保護被視為IT部門的責任」這個選項,除了是醫療業的第四名選項外,其他產業都是名列前三名。

臺灣勤業眾信副總經理萬幼筠表示,從風險的角度來看企業如何因應個資法,主要關鍵點在於,企業應該要做到多好的法規遵循程度,以及企業本身是否有能力、有資源做好相關的法規遵循工作。

IT部門只能滿足部分個資法條文的要求

不過,企業內擁有的電子資料形式的個資,只是所有個資的部分資料,新版個資法更納入紙本個資作為保護標的。由此看來,IT部門真的適合作為企業因應個資法的單位嗎?

達文西法律事務所主持律師葉奇鑫表示,過去1年多來,他在臺灣各地演講、進行個資法教育訓練和宣導,大約有7成的演講邀約都是由IT部門主導。以他的經驗來看,負責聯繫個資法演講和教育訓練行程的單位,往往都是企業內負責因應個資法的核心部門。

尤其是個人資料已經高度電子化的產業,例如之前受到《電腦處理個人資料保護法》規範的8大行業及指定適用行業,企業非常容易指定IT部門作為因應個資法的部門。

先前有家銀行的資訊部副理表示,該銀行由IT部門負責因應個資法。原先銀行內部考慮由法務和IT部門先凝聚共識後,再選擇一個單位負責因應個資法,但最後,「IT部門猜拳猜輸,」他說,因為IT部門先前有控管《電腦處理個人資料保護法》的電子個資,並且取得ISO 27001資訊安全管理系統認證。所以在新版個資法擴大保護客體後,該銀行便覺得,選擇IT部門作為因應新版個資法的單位,是省事且不需再大費周章的選擇。

個資法對企業而言,是一個很強法規遵循的驅動力,所有企業的因應對策,都必須滿足個資法母法和相關施行細則規範。理律法律事務所合夥律師曾更瑩表示,以新版個資法母法共56條規定來看,IT部門能夠滿足的條文規範有4條,包括第3條「當事人個資相關權利」,第11條「公務機關和非公務機關維護個人資料之正確性」,第21條「非公務機關國際傳輸個資的安全性」和第27條「非公務機關保有個資應採行的適當安全維護措施」。也就是說,在個資的蒐集、處理、利用、國際傳輸到銷毀的過程中,IT部門可以花比較大的心力在個資處理、國際傳輸和銷毀上。

曾更瑩指出,他們的客戶大部分是外商、跨國企業和大型企業等,在有個資法時的疑問時,經常是由法務部門扮演聯繫窗口,彙整各部門在因應個資法時,是否有某個作業流程需要因應個資法進行調整,但她坦言,可能是法務部門被動、守成的特性,加上多數法務部門人少、資源也少於其他部門,所以目前企業內以法務部門作為個資法因應部門的比例很少。她不諱言,人性其實是怕承擔責任的,尤其是要負擔這麼重大的法律責任時,能推給其他更有資源、能承擔的部門更好。

雖然,在個資法母法規範下,IT部門能夠著力的條文不多,但是葉奇鑫認為,根據個資法施行細則草案的規畫,有許多都是IT部門可以執行的工作內容,尤其是施行細則第9條所規定的11項安全維護措施中,除了第1項的「成立管理組織,配置相當資源」應該由組織高層負責,第2項「界定個人資料的範圍」第7項「認知宣導及教育訓練」和第11項「個人資料安全維護之整體持續改善」可以由IT部門和其他包括法務與業務部門一起執行。

至於第3項「個人資料之風險評估及管理機制」、第4項「事故之預防、通報及應變機制」、第5項「個人資料蒐集、處理及利用之內部管理程序」、第6項「資料安全管理及人員管理」、第八項「設備安全管理」、第9項「資料安全稽核機制」和第10項「必要之使用紀錄、軌跡資料及證據之保存」等項目,他說,全部都是IT部門責無旁貸的工作項目。

總經理帶頭推動個資保護效果最好

「上行下效、風行草偃」,雖然IT部門經常是企業指派因個資法的單位,但個資法是一個和全公司部門和流程有關的法案,蒲樹盛認為,成立一個跨部門的「個資保護管理委員會」或者是「個資保護推動小組」等單位,每個部門都指派部門代表加入這樣的組織,在這樣的單位運作下,去解決跨部門所遇到的個資保護難題。

跨組織的個資保護委員會是一個可以凝聚共識和討論事情的地方,不過,由誰擔任這個委員會的發起人,攸關該公司對個資保護的重視程度。萬幼筠指出,有些公司會指派副總層級以上的高階主管擔任發起人,看重的就是具有足夠的授權,可以進行跨部門的溝通協調。臺灣安麗公司就是直接是由總經理陳惠雯擔任發起人的角色,「由總經理出馬擔任個資保護委員會發起人的宣示效果,更清楚彰顯出,公司的確將個資保護列為企業營運的最優先項目之一。」萬幼筠說。

此外,曾更瑩也建議,可以仿效國外制度,增設個資保護的隱私長一職。她認為,隱私長必須具有副總層級以上,才有跨部門組織溝通協調的實權,但隱私長最重要的任務在於,不只要懂得個資法精髓,還要能夠扮演業務流程與系統單位中間的溝通橋樑,讓組織個資保護的這件事情,能夠在潛移默化中,成為公司的企業文化。

臺灣BSI總經理蒲樹盛表示,因為越來越多個資以電子資料形式呈現,所以企業會「自然而然地」把個資保護議題交由IT部門負責。

臺灣勤業眾信副總經理萬幼筠表示,由總經理出馬擔任個資保護委員會發起人,更清楚彰顯出公司將個資保護列為企業營運的最優先項目之一。


相關報導請參考「個資法不只是IT部門的事」

熱門新聞

Advertisement