上一期為大家說明個資法中,對於蒐集、處理、利用個人資料的規範與要求,這部份主要著重在個人隱私的維護,例如在蒐集個人資料時要對當事人盡到告知的義務,說明蒐集的特定目的為何,將會使用在哪些用途上;處理時則是要確保眾多的個人資料,經過內部新增、編輯、傳遞、儲存時的安全,避免受到未經授權的竄改,同時還要尊重當事人對於個人資料的自主權利,提供查詢、複製本和更正的服務;在利用時則是要符合當初蒐集時的特定目的,若要做其他目的的使用,除了有適當的法源依據或符合個資法的要件外,否則都必須要重新再取得當事人的書面同意才行。
組織安全
評估組織針對個人資料是否制定了一體適用的安全政策,以及相關的作業程序以便人員可以遵守,重點項目包括:
1.組織是否指定專人負責個人資料的管理?是否已制訂個人資料保護安全政策,並提供適當的人力與經費,由高階主管來支持個人資料安全管理和保護工作的落實。
2.組織是否已有和個人資料安全有關的作業程序,可供員工操作並且遵守?例如密碼的使用與設定要符合安全原則;人員離開辦公處所時應讓桌面淨空,不遺留文件在未經監管的地點;電腦螢幕設定一定時間自動啟用螢幕保護程式等。
3.組織是否已建立跨部門溝通與協調機制?例如由各部門推派一位個資管理代表或聯絡人;成立一個跨部門的個人資料保護小組,並定期召開個資保護協調會議等。
4.組織是否定期實施教育訓練,並確認員工已充分了解其應盡的個資保護與安全責任?例如依據人員不同的工作職掌,實施認知、管理或技術的教育訓練,並透過內部稽核的實施,確認教育訓練的有效性與成果。
5.組織若發生個人資料外洩事件,是否有相關的處理程序,並進行事後的調查與檢討?例如在個人資料受到竊取、洩漏或不當侵害時,由專人來負責通知當事人;制訂個資事件的證據收集與保存程序,或是尋求外部的支援。
6.是否有人可從組織外部來存取資料?個人資料是否需要和外部進行傳遞或交換?實施了哪些安全措施來控制、保護與監控這些行為?例如清查有哪些資料是可供外部存取的,並針對資料的傳遞或交換,依法定程序執行或建立內部的作業規範;對於資訊委外處理的服務廠商,要求相對應的個人資料保護措施等。
資訊系統安全
評估資訊系統的建置、營運與服務,是否已有適當的安全措施,重點項目包括:
1.資訊系統的日常操作,是否有文件化的作業程序?例如設備的異動維護,皆已經過授權並留下紀錄。
2.含有個人資料的主機,是否需要更高的安全防護,並執行嚴格的存取管理?例如主機實施實體隔離與監控,採用生物辨識方式,進行存取控制。
3.資訊系統是否有備援機制?針對儲存個人資料的設備,採用不斷電系統以持續維運;將資料備份存放在不同的地點;確保還原機制夠完善,定期執行演練與測試等。
4.資訊系統與應用軟體的弱點是否能被發現,並且定期更新修補?例如透過定期的弱點掃描或滲透測試,以及制訂適當的修補程序來進行控管。
5.是否已經強化網際網路與電子郵件的使用安全?例如有能力偵測或防止惡意程式下載至電腦系統;防毒機制可定期更新;郵件主機實施適當防護;資訊設備和系統的紀錄檔(log)集中留存並可防止竄改等。
人員安全
評估職務角色適任與分工代理是否適當,重要項目包括:
1.與個資有關的人員聘用,是否進行適當的徵信或資格審查?例如針對背景和學歷資格的確認,確認前項工作的離職原因;進行適當的職務分工代理等。
2.是否額外註明對於個人資料保護的相關要求?例如在聘僱合約中加以說明,並要求簽署保密協定;在新進員工訓練或員工手冊中說明組織對於個資法的政策與個資處理的要求等。
3.是否清楚告知員工組織資訊設備的使用注意事項?例如不得將個人帳號密碼透露給第三人、避免瀏覽惡意網站、不使用公司電腦收發個人郵件、不使用個人郵件寄送業務相關資料等。
以上簡要的評估方法,可作為有心強化個資防護的組織參考,相信能夠在個資法正式實施之前,找到一個可以因應與實作的目標。
(本文原載於網管人第58期)