即使修正後的新版個人資料保護法施行細則草案還在行政院審查階段,原定今年10月1日正式施行的規劃仍然不變。不論目前選擇的是保持觀望態度,等待施行後發生第一個訴訟判例再決定因應方式;或是正在積極推動因應條文規範的各項調整作業,勢在必行的個資法,將無可避免對企業帶來衝擊與影響。
「其實,認證標章說穿了就是要有能力在事前與事後都能掌控未知的訴訟案件,但『違法』比『個資有漏洞』還要嚴重!」葉奇鑫強調,現在的網站常見提供Facebook帳號登入,就會從中取得一些個資,這就已符合「蒐集」的範疇;之後為了確認身分寄發E-mail認證信函,則是「利用」。至於後續資料儲存的格式、系統、媒體等等,在ISO27001就有許多規範足以因應。但就前述的蒐集動作來看,若根據個資法的條款,只要有蒐集動作卻沒有告知,即屬於違法。
一般而言,電子商務平台新會員一開始在加入時,必定要有會員條款或會員合約。而葉奇鑫在初創飛翔駱駝時,會員合約是由專業律師所撰寫,直到為了審查既有的合約內容是否包含個資法規定要告知的6個事項,於是把網站會員合約內容加以拆解,才發現只有3項符合規定。「就連當初委託律師擬定的合約都不足以符合個資法,不免讓人擔心,是否有更多細節會有觸法的疑慮。」葉奇鑫說。
擁有認證標章不等於無過失
在個資法規下,企業若導入認證標章,是否就足以代表不會觸法或無過失?邱映曦認為不盡然,但的確會有些關聯性。理論上,認證標章真正的意義在於背後的管理制度,標章只是協助識別而已。而新版個資法中所謂的「善良保管人」,即會參考所實施的管理制度與流程,來判別是否有盡保管責任。此時標章或許可做為「雖已善盡保管之責、但仍不免發生狀況」的證明。但必須強調的是,沒有一種制度或認證標章可以達到「免責」,即使包括日本已取得P-Mark的企業,其意義是已符合相當嚴謹的國家級JIS Q 15001工業標準,都無法得以規避該有的責任。
她進一步提到,主要的狀況是所有的管理制度都是協助管理,把制度健全化,執行這些管理流程計畫,的確可代表做到一定程度的保管義務,然而最難的地方,即在於流程中遇到部分環節沒有被落實,這些都是潛在的風險。在法院的判定上,會去多方了解企業的作為有沒有符合法律、符合國內相關主管機關的要求,取得認證標章,至少可以證明的確是有下功夫做管理。
「雖然全世界沒有一種認證機制可以保證不會被告,但不能因此什麼都不做,」林宏嘉強調,認證應視為是一種基本條件,不論執行程度的多寡,至少存在一套管理機制。企業最擔心未來會遇到訴訟案件,這是無法模擬與推估的,只能盡可能呈現良善管理作為,此時協助識別的標章就可顯現出其重要性了。
從重點業務開始審查適法性
雖然目前國內可導入的認證標章各有不同的推動單位及訴求,但其實在多數情況下皆可成為互補關係,同時並存。葉奇鑫以TSP為例說明,TSP主要是以資料為追蹤標的,查檢項目高達4百項,依照目前累積的經驗,已通過ISO27001的單位能夠再經過TSP查檢通過者,只有36%。他認為其實有此結果並不意外,因為像是ISO27001或是BS10012規範,均較偏重在ISMS,強調管理制度但缺乏法律要件,而TSP的設計可說是依據法律規範制定後,再加上ISMS一定會審查的項目,兩者搭配結合,既有適法性也達到管理目的。
「我覺得這就是要對症下藥的地方,並沒有說哪一種認證有絕對的好與不好,每個單位的性質不同,若是業務性質的單位,法律問題就會很多;但若是跟外界接觸較少的單位,所需要的個資法安全強度可能就低一些,因此還是得依照不同單位需求而定。」葉奇鑫說,因此從重點業務項目先切入,確保過程中每個動作都具合法性,如此一來才有真正的效益,至於其他部分以階段性逐步完成即可。