新版個資法更近了

新版個資法的進度又向前邁了一大步，法務部已完成「個人資料保護法施行細則」，並自上周10月27日起公告施行細則的草案。

在接下來為期2周的草案公告期間（10月27日至11月9日），各界可對個資法施行細則草案提出意見，若無重大意見提出，則法務部預估可如期在11月底將草案送交行政院審查，那麼新版個資法就可望在明年開始實施了。除非是各界反應了很多意見，或是有人提出重大的意見，基於讓法案更完善，法務部就得再召開專家會議，那麼整個時程就會再延後。

至今距公告結束還有一個禮拜，尚無法得知各界對於施行細則草案的反應，不過就勤業眾信副總經理萬幼筠的看法，他認為施行細則草案大致上是符合多數人原本的期待。因此即使草案仍有可能會修改，但大體上有些原則已經確立了，所以企業不應再觀望，而應該開始著手評估準備了。

像是大家先前關切的問題之一：告知當事人是否只能採取書面型式？在施行細則草案規定：「得以書面、電話、傳真、電子文件或其他適當方式為之」，因此不限於書面告知，對許多企業而言這無疑是一大解套，但對於沒有掌握當事人的電話、傳真、電子郵件等資料的企業來說，就只能採用書面通知，其所衍生的作業成本可能會很驚人。以臺灣證券集中保管公司為例，他們有8百多萬筆證券個資，若只能以書面通知取得個資使用同意，那麼光是取得同意這件事，起碼就需要3億元以上的成本。

另一個大家關切的問題：以電子文件取得個資使用同意，是否需要搭配電子簽章才有效力？所幸，電子簽章的主管機關──經濟部商業司表示，依據電子簽章法第4條，只要電子文件的內容可以完整呈現，日後亦可查驗，經相對人同意都可視為書面同意。因此若以電子郵件方式告知當事人，就不需要搭配電子簽章。除非是該電子文件依法令規定是要簽名或蓋章，才需要加上電子簽章。

至於企業該如何落實個資管理，才能確保已善盡個資保管責任？個資法施行細則依照PDCA（Plan–Do–Check–Act）的持續改善方法，定出了11個企業應著手的面向，包括：

● 成立管理組織，配置相當資源

● 界定個人資料之範圍

● 個人資料之風險評估及管理機制

● 事故之預防、通報及應變機制

● 個人資料蒐集、處理及利用之內部管理程序

● 資料安全管理及人員管理

● 認知宣導及教育訓練

● 設備安全管理

● 資料安全稽核機制

● 必要之使用紀錄、軌跡資料及證據之保存

● 個人資料安全維護之整體持續改善

此外，Log檔（軌跡資料）也被納入個資保護範圍，個資法施行細則第5條規定：「個人資料檔案包括備份檔案及軌跡資料」。因為透過Log檔的資訊，再輔以其他參考資料，有可能還原當事人的個資。所以，企業應當保護與管理的電子資料，就不只是各式檔案、資料庫、備份資料，連Log檔也不能例外。

這些對於企業都是很大的挑戰，尤其是新版個資法所適用的範圍，幾乎涵蓋全數企業，不論規模大小，只要擁有個資，就必須遵守個資法的規範。這個衝擊之大可想而知，因為就連大企業都還苦惱著到底該做到什麼程度，才能達到善盡良善保管之責，更遑論為數眾多的中小企業。

個資法修法代表現代社會的進步，不論是明年開始或是繼續延後，法案終有實施的一天，而就在施行細則草案公布之後，這一天似乎就更近一步，已到了箭在弦上、不得不發的時候了。

吳其勳／iThome電腦報周刊總編輯