目前計有13機關、31部法令訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。在實務操作面上,自告知義務之履行、個人資料蒐集、處理或利用,迄個人資料之刪除、銷毀等「個人資料全生命週期流程」,均務必謹慎逐一檢視,確保凡涉個資之業務範圍及流程適法性無虞。
我國個資法全面適用公務機關及非公務機關之全業別(含個人)起步雖較國際主要國家稍晚,但卻不乏資訊安全、個資保護與管理專業人才。因此,面對如跨境電子商務及金融科技(Fintech)等推陳出新之挑戰,完善個資保護機制並邁向國際接軌,指日可待。
躋身跨境隱私保護 政策發展重點項目
為因應美國川普政府上任後之可能衝擊與影響,行政院長林全於去(105)年12月召開之「行政院國際經貿策略小組」會議,特別指示運用亞洲太平洋經濟合作會議(APEC)平台掌握區域整合新趨勢,並請國家發展委員會主持協調各部會推動加入APEC「跨境隱私保護規則體系」(Cross Border Privacy Rules,CBPRs),期與國際接軌,促進跨境數位經濟發展。目前,經濟部國際貿易局對於CBPR體系能力建構,正研擬透過國際研討會,汲取先進國家之經驗。
個資法自民國101年施行以來,歷經修正乙次,自去年3月15日起,整部法令業已全面施行。中央目的事業主管機關於四年多來,如雨後春筍般,陸續依同法第27條第2項規定,發布「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」等相關事項之辦法,並指定各業別訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。目前計有13機關、31部法令,特盤點整理如附錄一,以供讀者參考。
需特別注意的是,附錄一所提整理的各子法內容雖異,但其架構大抵含括下列要項,於實務操作面上,自告知義務之履行、個人資料蒐集、處理或利用,迄個人資料之刪除、銷毀等「個人資料全生命週期流程」,均務必謹慎逐一檢視,確保凡涉個資之業務範圍及流程,適法性無虞:
一、政策擬定及資源配置:安全維護計畫、專責管理人員及管理政策等。
二、基本程序及要求:法令盤點、個資盤點及風險分析。
三、事故預防、通報及應變機制。
四、委外監督
五、行銷
六、國際傳輸
七、當事人權利行使
八、管理措施:作業管理措施、人員管理措施及檔案設備安全管理措施。
九、業務終止後個資處理
十、教育訓練
十一、稽核機制
十二、紀錄保存
行政檢查三部曲:發函、自評及現地查訪
中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得依個資法第22條規定,發動(行政)檢查,並採取下列措施:
一、命相關人員為必要之說明、配合措施或提供證明資料。
二、對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
三、得率同資訊、電信或法律等專業人員共同為之。
以經濟部商業司為例,為鼓勵業者建立自主管理,訂有「網路零售業資安基本查核表」提供業者以資安基本防護基礎進行個資安全防護管理,協助業者因應並落實法規要求。
前述查核表係依據「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」之規定,依序展開資安基本防護(人員、作業、技術及設備四大類)的控制措施(計40項)。另關於委外監督部分,亦訂有委託契約內容應包含資訊處理方式、安全政策保護及個人資料保護相關事項(含發生資安事件或個資外洩時之應變)之管理及檢核等要求。在認為有必要時,將函請廠商就個資或資安疑慮事項進行說明,並請其回覆自評結果。如認有進一步釐清事實之必要,則安排現地查訪。
綜上所述,透過驗證機制,取得具公信力之標章,例如專以我國個資法為設計核心之臺灣個人資料保護與管理制度(TPIPAS)或針對資訊安全管理系統認證之ISO 27001,亦可資企業個資法遵規劃時,斟酌採行。
<本文作者:李哲明研究員,長期研究並關注國內外個人資料保護與管理制度、隱私權、資訊安全等相關議題。>