在新版個資法還沒確定施行前,多數的企業並沒有正視資料銷毀問題,因此對於不堪使用的儲存媒介以及過期文件,往往也常忽略其風險。但個資新法施行之後,相較於之前「有做就好」的心態,企業必須以更積極的態度來面對資料銷毀的議題。
以個人電腦為例,組織程序檢視的第一步是確定員工手中的的電腦是由組織統一配發還是員工自行攜帶,接受員工攜帶個人電腦到辦公室內辦公的缺點,主要是公司資料將存在該名員工的電腦之中,而且管理人員很難有權限介入處理。若企業內部的電腦是統一由組織配發,這時可以透過幾個程序加以處理:
設備故障維護程序
當個人電腦出現故障需要維護時,需要先由組織內的資訊室或電腦中心先進行識別。確認電腦設備需要維護時,在送回原廠維修之前,應先行處理,例如先把硬碟取出,或是將硬碟加密之後,再由維修人員帶走。「資訊中心的責任是確保設備端無資料,縱有資料也無法解開,在故障報修程序這關就應該先行把關。」張義明說。
儲存媒體報廢程序
企業在報廢階段主要有兩項作法,一是考量資源再利用,將設備整理完再以福利價銷售給員工或轉售,這時儲存媒體需格式化後,再重新安裝作業程式,以降低資料復原的機率。而另一種作法則是直接進入銷毀階段,從盤點資產、以物理或化學方式銷毀到最後回收處理,企業都可以設計標準程序來執行。
「當然企業在執行銷毀程序時,一定要留下足夠的證據,以便有爭議時能夠舉證,所以在訂定管理與執行程序時都必須要能留下記錄。我們會建議企業在銷毀的過程中,最好有一個稽核人員在旁。」他提到,不管在稽核的過程中,企業想要留下哪些證據或資料,企業都可以自行設計,例如全程拍照或攝影等等,但重點在於檢核表的確認,例如日期、銷毀哪些儲存媒體或文件等等,最後由執行人員與稽核人員雙雙確認,再將檢核表當為附件,如此一來,在遇到特定事件時,才能提出舉證。
現行推動的難處
一如前文提到,現行的個資新法在法規中並沒有提及資料銷毀要做哪些事情,也沒有硬性規定明確的項目,但是從法律面來看,企業若沒有做好資料銷毀,的確存有資料外洩風險,而且風險程度不低。因此確保企業制定的銷毀程序能夠確實地將資料銷毀完畢是企業必須面對的重要課題。
然而,根據張義明的觀察,目前企業在資料銷毀普遍遇到的難題並不是執行的過程,而是執行單位如何找到稽核人員。「對於熟悉內稽、外稽的金控單位來說,尋找配合的稽核人員較為容易,比較不受困擾,但是在一般企業中,稽核人員多半並沒有被要求到這項業務,有沒有人來擔任、由誰來擔任也就成為企業推動的難題。」
另一項潛在的問題在於證據保全的年限。個資法規定,蒙受個資外洩損害的當事人若要進一步向企業求償,必須在損害發生後的五年內提出,或者當事人在得知發生損害與求償對象後兩年內提出請求損害賠償。因此,資料銷毀相關舉證記錄理論上也需要保留到五年,但五年期間人事變化不小,而且也與成本息息相關,企業應在這方面事先做好規劃與準備。
降低企業負擔
不同的儲存媒體需要透過不同的方式來達到資料銷毀的目的。而除了企業自行透過制度流程配合相關技術,在可接受的範圍中降低資料外洩風險的作法之外,不少企業也選擇將資料銷毀工作委外,透過業者的協助來達到適法性,同時降低執行資料銷毀作業需要投入執行人力、時間、相關技術設備成本以及可能潛藏的隱性風險。
目前,企業常見的資料銷毀項目包括紙本文件、硬碟以及磁帶等三種常見的載體,不少專業的資料銷毀業者也提供相關服務,有些涵蓋各種機密文件檔案,從紙張文件到磁性儲存媒體全都包含在內,而有些則專精特定項目,例如針對文件或磁性媒體等等,不管業者的營業項目為何,多數都強調協助企業如何在資料銷毀的流程中同時也能符合個資新法的規定。後續文章將分別探討各類銷毀項目在新舊時期的不同作法,同時也將邀請業界專家現身說法,如何透過委外服務來降低企業負擔,同時符合個資需求。