個人資料保護

安全輔導、業務輔導、內控輔導

正確的遵法觀念

面對個資法,如何評估遵循範圍?

企業面對個資法的遵循作業,一般會先由隱私衝擊分析(Privacy Impact Analysis, PIA)評估作業做起,中華數位科技企業資料保護小組建議應先界定個資業務的範圍及個資檔案的安全維護事項。

    評估工作可分為三個步驟

  • 鑑別外部個資業務範圍
  • 界定企業內部個資業務範圍
  • 規劃與實作個資檔案的安全維護事項

1. 評估外部個資業務範圍

「鑑別企業是否有例行性的外部個資(民眾、客戶個資)蒐集業務」,此部分包括直接收集、間接收集與代辦業務行為等:

  • 直接個資蒐集行為
    如網路購物會員、專櫃品牌會員、直銷會員、學生個資蒐集、旅客個資蒐集等。
  • 間接蒐集個資行為 
    如合作伙伴/通路的個資委外處理服務,如貨運公司的服務、代銷公司的業務等。
  • 代辦業務蒐集個資行為 
    如代辦考試業務、代辦保險業務、人力資源仲介業務等。

若企業涉及外部個資蒐集行為,建議應立刻由法務人員(或委由外部律師、顧問)依照個資法要求的「蒐集規範」制訂個資合約條款,包括如:個資蒐集與使用同意書、個資權益說明書、個資安全管理與業務終止後處理條款等。此類行為因涉及民眾的個資處理程序,遭檢舉的機率較高,務必納為個資法規遵循的首要目標。如果企業經營涉及民眾個資業務處理,但無相關規範書,無法客觀認定企業已符合個資法及施行細則相關作業規定,只要一經民眾檢舉或發生侵害當事人個資權益之事件,企業無法舉證已善盡良善管理責任,必須馬上接受主管機關行政處分與受害者民事賠償訴訟等營運衝擊。

2. 界定企業內部個資業務範圍 

企業內部的個資管理範圍主要包括人事業務、總務業務、財務業務、員工健康檢查業務、行銷業務、B2B個資(如通路、經銷商、合作伙伴、客戶名片)管理等。這些企業業務行為,不因為企業內部員工個人資料保護之義務與客戶個資有所差異,也一併受到新版個資法規範,且各業務的執行重點也不大相同。

以人資業務為例,「員工個資使用同意書」「員工個資權益說明書」「離職員工個資使用同意書」等,是企業最應在短時間內完成的;「人才資料庫建立的當事人同意程序」、「離職(未錄取)員工的個資刪除作業」、「員工健檢個資的合法使用」可依照企業營運狀況做實際調整。

總務單位(旅遊代辦業務、員工補助等)、財務單位(勞務報酬單、外部顧問與佣金費用處理)的個資蒐集是除了人資業務外的另一個主要來源,其個資處理及利用一般建議僅限部門內部,除須做好安全管理外,建議搭配如「個人資料保護及保密協定合約」、「個資資料簽收單」、「個資查詢與調閱單」等文件,做好企業內部的個資控管,不但可符合法令規範,當主管機關查驗時也能提出執行證明。

員工健康檢查的個資管理部份,依「勞工健康保護規則」規定,企業主並非可全面蒐集並保留員工的健檢個資,建議相關健檢資料依法令所規定保有與個人隱私部份進行資料分流,並以安全方式分別交付企業與員工當事人收執。 關於企業行銷業務,應注意個資的使用是否符合「特定目的原則」,所有蒐集與使用的B2B個資,僅限企業內部的業務行為使用。與不同企業、經銷商、通路的行銷業務合作,若涉及個資內容交流是否符合法律規範的問題,建議應由專業的律師或顧問協助檢視,以免違法使用個資。

3. 規劃與實作個資檔案的安全維護事項

企業持有的個資必須依個資法施行細則第12條訂定的「適當安全維護措施」來執行安全管理。企業可能因規模、個資儲存資訊系統與個資總量不同,選擇的執行方式也不盡相同。

企業個資法遵循執行重點:

以下以個資總量達5,000筆的企業規模,來課以不同個資保護責任,以供企業參考(日本個資法是以5000筆個資為企業法規遵循的臨界點),建議之執行順序如下:

  1. 選派個資管理種子人員參加坊間舉辦之個資講座與教育訓練
  2. 成立跨部門個資安全管理小組 (指定最少一位高階行政主管與一個行政專員)
  3. 辦理內部員工個資觀念講座
  4. 指定專人執行「個資業務盤點」與「個資風險評估作業」
  5. 依照企業資訊系統架構規劃「個資系統安全防護強化作為」
  6. 建置個資作業安全管理規範 (一般需涵蓋人資、總務、財務、行銷、健康檢查、資訊單位、業務單位)
  7. 整備「企業個資安全維護計畫」
  8. 發給員工個資安全管理手冊
  9. 每年定期辦理內部稽核與教育訓練
  10. 與主管機關主動聯繫,詢問有無相關行政檢查計畫

上述三步驟,已說明各業務型態對應個資法的基本因應觀念,惟企業主須注意的是,個資管理制度如何與既有企業內部管理規範做結合,並適時教育員工相關基本觀念,以展示企業的遵法態度與員工認同感,將是管理成本投入的主要目標與效益。