個資法來臨!律師給企業的「生存法則」:完善PDCA免責

財經中心/綜合報導

資法來勢洶洶,許多民衆稱之爲「馬政府最有感的政策」;但是網路上都是教民衆「如何利用個資法告企業」,很少人告訴企業主該怎麼辦。國際驗證公司BSI日前提出「PDCA」個資保護標準,只要企業有確實做到標準的文件保護,面對法官時就能證明企業的清白!

▲因爲個資法,林益世起訴書成「天書」。

2012年11月,遠東商銀離職員工影印時不慎將「客戶申請書」等文件遺留在資源回收廠,被臺南民衆撿到;由於資料包括申請信用卡所需的姓名身分證字號地址、經濟狀況,甚至連印鑑等機密資料都有,造成影響範圍之內的民衆人心惶惶。適逢2012年10月1日「個資法」正式上路,遠東商銀成爲首間違法銀行機關

雖然銀行方面表示,這件事純屬某位離職員工的不法行爲;但依照個資法的規定,遠東商銀顯然對於含有個資的文件,在管理上有重大疏失。當事人若透過團體訴訟,可向銀行求償兩億元,甚至更高。

那麼,企業面對個資法該如何面對呢?在個人資料保護上,應該同步重視「紙本」文件和「電子檔案」兩種;從歸屬上來區分,則可以分爲「員工的人事資料」,以及「客戶和合作廠商的個人資料」兩種。在保護上,依法要注意資料的部分,有「蒐集」、「處理」、「利用」等三階段過程

「蒐集」是指個人資料之取得,「處理」則包括了儲存、保管、編輯、複製、檢索、刪除等作業,至於「利用」則泛指其他一切使用個人資料之行爲。以前面所提到的遠東商銀的案例來說,就是在紙本文件的個資保護上,在「保管」之過程出現嚴重漏洞所導致。

個資防護的SOP:規劃、執行、稽覈、改善

秉持「預防勝於治療」的觀念,國際驗證公司BSI日前將英國個人資料保護標準BS10012,根據「規畫」、「執行」、「稽覈」、「改善」四項建立出品質管理循環,並依據四字英文字首,簡稱爲PDCA。而這個PDCA,就是個資法及施行細則中所謂的「適當安全措施」在訂立時所必須參考的標準。

但是,光說「PDCA」實在太過籠統;組織面對個資防護,臺灣BSI總經理蒲樹盛特地將它濃縮成八項可實作的摘要作法,可以作爲企業部署個資保護的入門參考。

「規畫」:分爲制訂個資保護政策和設立專門組織、明訂個資存取控管程序方法兩項。

「執行」:涵蓋了進行個資分類盤點與保護程序、落實個資保護宣導與教育訓練。

「稽覈」和「改善」:包括了加強個資安全監控與檢視、提高個資外泄事件反應能力、重新審視與委外廠商的權利和義務以及遵守法規並落實內部稽覈機制等四項。

個資防護的核心:「文件保護」

在上述八項中,「個資盤點」以及「個資文件的保護」是最重要的核心。企業首先應該確認,內部到底擁有哪些個資文件,並且採取有效的措施對於那些文件進行保護,以降低處理及利用時個資外泄的風險

不過,顯然從政府到民間組織,對於個資保護的規畫都未完全落實,更別說後續的執行。2012年屏東縣政府計劃在高屏溪旁興建火葬場,12月初在行政環保署的網站上所公佈的環評報告書,竟然「違法」公佈出大量民衆個人資料!

被屏東縣政府公佈的個資內容,包括投書縣長信箱的民衆,以及向屏東縣政府陳情的陳情人所留下來的「姓名、身分證字號、電話、地址」等個人資料,一切都被看光光。這起個資外泄事件,凸顯出屏東縣政府完全沒有執行個資保護措施,此舉也讓民衆心生恐懼,擔心自己發表的言論會爲自己帶來困擾,明顯損及民衆權益。此一案例,再度反映個資防護被忽略的嚴重程度。

▲銀行若不認真面對,會遭遇麻煩!

觸法可判賠二億元或是科處二年刑期!

在傳統的觀念中,公司違法,老闆首當其衝,與員工無關;但是個資法正式上路後,即使是員工的「個人行爲」,只要造成個資外泄,就必須讓整個機關來負責賠償,以每人每次泄露500元至20,000元不等,最高甚至可達2億元之譜;除非機關能「證明自己無過失」,才能免除如此沈重的賠償責任。而「個資管理人」也將連帶處以與公司同樣金額之「行政罰鍰」(見下方解釋)。

怎樣才叫做無過失?簡單說,機關若能在發生個資外泄事件、面對損害賠償訴訟時,對法官證明自己已經採取了「PDCA」的程序、對個資文件的保護措施也都能有效執行,就可以免責。不過由於個資法上路僅僅三個月,據訪查,大多數的政府機關與公司企業依舊無感。但是,無感的風險,遠比大家想像中的大。

什麼是個資法的「行政罰鍰」呢?身爲政府或民間機關的個資管理人,一旦個資外流,除了公司將受到「2萬至50萬」不等的罰鍰處分外,個資管理人將連帶處以同樣金額之罰鍰。以「戒慎恐懼」來形容被機關指定之個資管理人,一點也不爲過。

▲因爲個資法,榜單出現一堆圈圈

至於個資法的刑責歸屬也訂定得相當清楚,在個資的產生中,「處理」對公司內部經手員工薪資勞健保勞退、人事檔案等個人資料的同仁來講,麻煩最大。一旦違規檢索、複製、刪除、輸出、傳送,將由實際上的行爲人,還將處二年以下有期徒刑。因此公司員工的個資處理,得要強化安全控管機制,並確實追蹤資料流向

在臺灣資安界,推動文件保護不遺餘力的優碩科技總經理黃祖仁表示,雖然在任何機關裡,處理到相當數量的個資都是難免之事,但只要能訂立並執行「適當安全措施」,就可以一方面確保個資安全、二方面免除機關與個資管理人的法律責任,否則只怕後患無窮。

黃祖仁還進一步指出,企業要執行個資文件的保護,方法很多,有的在手續上相當麻煩,有的則相對簡便。把全部含個資的紙本文件都鎖進機關負責人的保險箱,員工有需要利用時還要個別寫簽呈申請,雖然也是一種保護措施,但顯然在實務上不可行。

因此,市面上已經有相當多的資安廠商推出各種不同的個資文件保護方案,各機關可以鎖定對自己性價比、C/P值最高的來採用。他在最後還提醒大家注意的是,個資法施行細則第12條中,要求把個資文件的使用紀錄、軌跡資料進行保存。這個步驟,首先可以確保所有的個資控管環節之落實,其次也能做到個資文件流向的事後舉證,在萬一意外發生時得以進行自保