新版個資法全面啟動,你準備好了嗎?

-

相信大家對於網路上的各種人肉搜索、不雅照外洩等事件應該是耳熟能詳,對於電子信箱中的垃圾郵件和煩死人不償命的行銷電話也都已經習以為常,不過在您看到文章的這個時候,這些行為都可能必須負起民事、刑事和行政責任,因此不論你是一般平民老百姓還是企業內的員工/主管,都不能忽視「個資法」所帶來的影響。

到底什麼才算是「個資」呢?

在談這個議題之前,先來看一下在個資法裡面對於個資的定義:

自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接間接方式識別該個人之資料。

既然叫做「個資法」,保護的對象就是像我們這種有血有淚的「人」,所以如果是法人、機關的資料就不屬於個資法保護的範圍囉!不過如果因為行業別所屬的主管機關(例如金融業有金控法、銀行法等法規)有其他限制的話就得另當別論。

個資法也說明只要資料可以直接間接的判別出個人,那這些資料就會受到個資法的保護。舉例一些例子來說:

  1. 我有一個名單,裡面有位「王建民」算不算個資?
    「王建民」很可能是菜市場名 (紅了以後更嚴重XD),因此如果資料只有姓名,就不一定會有個資法的問題,除非名字很特別。
  2. 我有個名單,裡面有姓名和他的E-Mail,算不算個資?
    E-Mail在網路上具有唯一性,雖然網路是個匿名的世界,但是E-Mail就像門牌一樣代表著某個人的信箱,如果再加上姓名的判別,基本上對應到的人就可說是呼之欲出了,所以這種資料應該要小心,除非他的 E-Mail 是亂申請的。
  3. 我辦了個活動,請網友提供身分證號、姓名以及E-Mail,有問題嗎?
    基本上,身分證號 + 姓名就已經可以很明確的知道這個人是誰 (詐騙集團都是這樣讓受害人信以為真的),所以絕對是個資法保護的範圍!
  4. 某人在那些公司任董監事或經理人,有個資的問題嗎?
    只要公司有辦理營利事業登記,就可以在經濟部的網站上查詢所有公司董監事(含持股數)、經理人等資料,這些是屬於公開可查詢的資料,因此沒有個資洩漏的問題。

如何替公司打一劑「個資法預防針」?

雖然個資法在正式上路前已經”醞釀”了一段時間,一些科技媒體也曾經用大篇幅的專欄文章探討個資法帶來的影響,但是對於多數的企業來說仍然無法及時做出應變動作,如果哪天有心的消費者想要搞你,可能會看到一堆人眼睛睜大大,嘴巴張大大的無言以對。

個資法上路以後,企業首先要學習的是如何「自保」,為了避免被神通廣大的鄉民一舉攻破城門,企業必須要先替自己打一劑預防針,補充最基本的「抗體」:

  1. 盤點所有資料,清查所有關鍵/隱私資料
    木馬屠城記裡面的阿基里斯非常勇猛,直到他的腳踝中了一箭…再勇猛的人都會有弱點,如果不知道自己的弱點,更別提要怎麼防範了。因此公司必須要先盤點內部所有的資料 (記得:任何形式的資料都要),把所有能夠直接/間接識別出自然人的資料整理出來,以便後續處理。

    如果碰到一些資料很難界定是否是隱私資料的話,別懷疑,請將選項選成「YES」!因為法院目前還沒有任何個資法的判例,沒有人知道法官會如何認定個資的範圍,為了保險起見,還是列入吧!

  • 建立資訊安全管控機制
    一般中小企業可能人手不足,對於資料的安全並不是這麼在意,也因此常常出現「人人都是管理員」的情況。為了避免公司客戶資料遭到有心員工拿去做一些檯面下的事情,必須要制定更完整的資料安全控管機制,限定有權限的人才能取得、利用這些資料,除了保護客戶的個人資料以外,也保障公司不會受到威脅。
  • 建立使用紀錄、查詢軌跡等紀錄
    這些資訊就是我們一般俗稱的「Log檔」,也是最常被當作是垃圾的資料,但現在這些資料將可能是關鍵資料。如果是電腦系統,可以透過程式或資料庫 Trigger 的方式將資料查詢/異動軌跡記錄下來。
  • 建立內部管理程序及機制
    企業必須要將個人資料的建立、處理以及利用的方式和各種控管程序建立成內部的管理手冊,並且透過內部的教育訓練讓員工了解個資保護的重要性。

    另外,正所謂內賊難防,為了防止資料被透過各種媒體(例如網路、USB隨身碟、手機等)傳輸出去,可以搭配建置資安廠商所推出的「資料外洩防護」(DLP, Data Loss Protection) 系統監控所有流出/入的資料是否有問題,也可以限制 PC 上 USB 的使用 (也就是所謂的廢掉 USB 啦!)

以上幾點是好手認為要應付個資法最基本的要求 (沒錯! 這只是第一步而已!),不過,能做到這些,也表示企業對於個資的保護有一定的水準,也能夠提供企業在面臨使用者檢舉時候的自保舉證能力。

當然,要做的還很多,可以參考由 ITHOME 和科法中心整理的個資法安全維護措施執行建議

 

別想逃,小心個資法大刀砍到你!

從前面幾個小節可以知道個資法帶來的不只有個人權利的提升,對於各行各業的要求更甚於前一版的個資法。

另外一個重要的區別是新版個資法不再限定只有特定行業適用,上至鴻海集團,下至理髮店甚至是個人一概適用,只要手上有蒐集來的個人資料檔案,無論是電子檔案或是紙本資料,都必須要謹慎妥善的保管運用。

國內許多公司都喜歡在網路上舉辦活動,無論是化妝品、食品、3C家電什麼活動都辦,也常常基於「兌獎」的理由,要求參加活動的人必須提供完整的身分證號、電話及姓名,也因此這些舉辦以及承辦活動的公司現在個個都面臨個資法嚴峻的挑戰,因為活動的關係,內部就會握有一大票的個人資料 (行銷資源)。

所以,別再以為個資法與你無關,一個不小心,就別怪個資大刀無情囉!

個資法對企業(內部)員工帶來的影響及挑戰

因為新版個資法對個資擁有人有著更嚴格的要求,被蒐集個資的當事人(就是你我)擁有更多的權力來保護自己的個人資料不被濫用,所以對於企業的員工來說將會帶來更多的挑戰:

  1. 內部資料傳遞作業將因應法規有更嚴謹的作業程序
    以往因為不在法令的規範內,因此很多公司對於蒐集來的個人資料並沒有一個安全的作業程序,這在現行的法規之下是很危險的。因此,未來在處理這些個資時,勢必要針對個資做更完整的檔案及文件管理,對於原本規模就不大的中小企業來說,也許會造成一些困擾。
  2. 面臨更嚴謹的稽核管理
    當個資事件發生時,擁有個資的一方肯定會遭到檢查,因此平時若有落實自我稽核的機制,當受到外部單位前來稽核檢查時,才能夠證明自己對於個資的管制是有落實的。
  3. 運用個資必須要更謹慎小心
    現在每個人都有權利要求停止利用或刪除個人資料的權利,必須要提供暢通的管道讓當事人能夠行使他們的權力,若當事人到警局報案檢舉時,擁有資料的一方就必須要提出更多的證據來證明自己並無過失。這一來一往都會增加非常多的處理成本,還必須冒著被主管機關懲罰的風險,在運用上必須要小心謹慎。前幾天我接到某銀行的行銷電話,便試著要求對方依個資法刪除交叉行銷所利用到的資料,結果對方寄來的表格文件上還寫著「電腦處理個人資料保護法」,可見得這家銀行還沒因應個資法做足夠的準備。
  4. 員工個人業績問題
    因為資料交叉運用受到嚴格的限制,電話、網路行銷的業績非常有可能急速降溫,對於以業務維生的朋友可能會產生不小的衝擊。

更多參考資源

  1. 天遠律師事務所
  2. ITHome個資法主題網站
相關文章/報導
手哥 HANDBRO
手哥 HANDBRO
硬是要學共同創辦人兼職打雜編輯,熱愛網路、熱愛 3C!腦袋是個不定時炸彈,隨時會炸出新玩意兒!如有開箱、評測或各種合作需求,請洽:contact@soft4fun.net。 YouTube 頻道:手哥科科

留下一個評論

請輸入你的評論!
請在這裡輸入你的名字

網站搜尋
看更多新聞
我們的頻道
- 廣告 -
分享給朋友