修法後,對於一般個資之蒐集、處理及利用,已不要求書面同意,但蒐集者對個資當事人同意之事實,應負舉證責任。實務上對於個資保護與管理,經常是委由IT部門擔負控管主責,但這樣一來,該如何設計或調整現有機制,才能符合法令需求?
我國自民國(以下同)99年5月26日公布「個人資料保護法(以下簡稱個資法)」全文56條,並於101年10月1日施行,取代84年所訂定之「電腦處理個人資料保護法」,個人資料(或簡稱個資)保護與管理已邁入新紀元。歷經3年多的實踐,當國內各公務機關或非公務機關逐漸熟悉相關規範時,個資法又於104年12月30日進行修正,並在105年3月15日施行。
這次修正共涉及12條條文(個資法第6至8、11、15、16、19、20、41、45、53及54條),超過20%以上的異動幅度,變化不小。且將前一次尚未施行的第6條特種個資之規定,及第54條對101年10月施行前間接蒐集個資之告知時點,予以修訂及施行,並放寬如第15、16、19、20條個資當事人對於一般個資之蒐集、處理及利用表示同意之方式,以及第41、45條修正刑事責任規定等。
修法後內部作業程序 應配合調整
為落實個資保護與管理,我國廠商多透過提供必要資源、建立管理制度或訂定SOP,以符合相關法令要求。舉例而言,在本次個資法修正前,企業或組織要取得個資當事人同意,係以書面同意為主。基此,在以往流程或系統設計上,只要能確定該書面形式,或採用符合電子簽章法之電子文件即可。
但在修法後,對於一般個資之蒐集、處理及利用,於表示同意時,已無書面之要求,又因修正後之個資法課予蒐集者對個資當事人同意之事實,應負舉證責任,就IT專業人員或實際負責個資業務之人員來說,如何設計或調整現有機制,始能符合需求?
原則上,個資法所稱「同意」之情形,如當事人經蒐集者告知法定事項,表示允許;或經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,未表示拒絕,即可推定其同意。在這樣的情形下,個資當事人如有不同意,需舉反證推翻。但就當事人同意之事實,對於業務承辦人或IT專業人員來說,如何證明當事人允許或未表示拒絕之意思表示,恐易生爭議。
為避免日後不必要之困擾,建議企業組織最高管理階層或IT部門主管應考量建立內部一致性處理流程,或納入系統既有作業內容,如增加作業流程內之節點(Checkpoint),確保個資蒐集、處理或利用相關程序已標準化,並適度留下相關紀錄,始可能符合法規之需求。
各部會安全維護規範 可供執行參考
由於本次個資法修正後,一般個資已放寬表示同意之方式,且在特種個資除法定要件外,並強調事前或事後有適當安全維護措施等,但對於我國企業或組織來說,在營運或管理實務上關切的重點,應是如何符合個資法之要求。無論公務機關或非公務機關,如何建立完善的內部管理制度以降低風險,或該制度如何調整以符法令要求,應有一定之認識。
試另以個人資料檔案安全維護規範為例,究竟該如何執行或符合相關規範,對照我國各部會如中央銀行、內政部、交通部、金管會、勞動部、經濟部、財政部、教育部等,自個資法施行後迄今已陸續發布之20多項法規命令,如「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」規範包含非公務機關之個人資料保護之規劃,個人資料之管理程序及措施,個人資料之安全稽核、紀錄保存及持續改善機制等。
因此,這些法規命令對於企業或組織落實個資法可提供具體之參考,如非公務機關應依其業務規模及特性,配置管理之人員及相當資源,以規劃、訂定、修正與執行其個人資料檔案安全維護計畫及業務終止後個人資料處理方法等。
提高企業法遵程度 建議系統化管理個資
依個資法規定,各目的事業主管機關可進行行政檢查等,以確認企業對於法令的遵循程度。參酌本次修法緣由及國際間個資風險管理需求,目前我國個資法對於公務機關或非公務機關整體之安全措施,因其目的在於防止個資被竊取、竄改、毀損、滅失或洩漏,而具體內容包含配置管理之人員及相關資源,個資蒐集、處理及利用之內部管理程序等11大事項(如附表),且相關措施內容與企業或組織所欲達成個資保護目的之間,需有適當比例為原則,這些要項都是主管機關行政檢查的重點。
企業在瞭解本次個資法修正之內容後,應審慎評估內部相關作業流程或程序如何配合法規調整、因應。然如何建立機制妥處個資管理事宜,非僅由IT部門或專業人員一己之力,可思考完善內部管理制度,並由最高管理階層提供必要資源,且配合各部門相關人員之協助。
此外,國內企業或組織除依前述規範建立安全維護機制外,應適時調整管理制度,甚至可責成專責部門或人員,積極掌握國內外法規動態、法院判決等資訊,並配合營運策略或目標,透過PDCA模式建立系統化管理制度,規範個資之蒐集、處理或利用等程序。
進一步來說,更可規劃取得具公信力之標章或通過相關驗證,例如專以我國個資法為設計核心之臺灣個人資料保護與管理制度(TPIPAS),或BS 10012針對個資管理及隱私權維護、ISO 27001針對資訊安全管理系統等,以彰顯個資管理效能及避免可能風險。
<本文作者:資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題。本文作者為陳宏志,現於資策會科法所擔任專案經理,專注於個人資料保護與管理、反托拉斯法,以及我國廠商至國外營運可能之法制風險等議題。>