個人資料保護

安全輔導、業務輔導、內控輔導

正確的遵法觀念

面對個資法,企業主如何評估需投入多少資源?

企業遵循個資法應投入多少資源?首先除了評估導入範圍外,還有「個資內容敏感度」、「主管機關態度」、「產業風險」等重要議題需一併納入考量。

個資內容敏感度,是決定個資價值與風險的絕對指標 

交易資訊、財務個資、醫療個資、個人履歷、健檢個資等,都是敏感度較高的個人資料,一旦外洩或處理不當,企業將面臨媒體大眾的撻伐與主管機關的行政查核,後續行政處理與民事和解工作,都將造成企業重大的財務、名譽與客戶流失等損失。

敏感度較低的個資,如名片資訊、業務承辦人郵件、公司地址、公司電話、個人公開資訊(如透過部落格)等,此類個資資訊一般均會以社交手段去進行某種程度的公開,以符合常態的企業業務營運,因此一般人對此種個資資訊的運用,均採公開分享的態度且期待被合理交換運用。故該類型的個資保護,僅需避免大規模外洩與業務濫用即可。若不慎外洩,遭受的實質訴訟風險與社會壓力一般較不嚴重,所以可能採取的防護措施也較簡單。

主管機關態度,影響企業遵法速度 

目的事業主管機關與地方政府的態度,絕對影響企業遵法的時間表,當企業投入資源去因應新版個資法時,通常會評估主管機關的要求,並納為執行的「效益評估」。個資法雖已經上路,但各目的事業主管機關有實質完備因應措施及產業指導作為的仍算少數,這是目前大部分企業仍採觀望態度的主因。沒有主管機關的壓力,企業如率先執行「個資法遵循成本投入」導致其他業務停滯,對企業而言,將影響實質競爭力。從競爭公平的角度來看,主管機關應提出「法規遵循時間表」並制訂行政檢查工作項目,讓企業有所遵循,也確保產業的企業是以相同的步伐來執行。

法務部於2013年1月份公告「個人資料保護法非公務機關之中央目的事業主管機關」以及「法務部99年度公務機關個人資料保護方案計畫研究成果報告書」,對產業有重大影響,因為各主管機關可以依據該研究報告書的規範、表單、計畫範本,制訂各產業的執行目標與查核標準,相信對各產業的因應會有正面的帶動效果。

產業風險,因業務特性而異 

各產業的實質風險是依據每個產業的業務特性及所擁有的客戶屬性來評估。客戶對個資法的期待與認知度,以及是否會向主管機關檢舉來督促業者,仍需持續觀察。日前屏東愛鄉護土自救會因不滿個資資訊被公開上網而控告政府一案,被媒體持續大幅報導,此案件會教育大眾對個資保護的意識及自我權益要求。一般企業是否會因違反個資法被民眾檢舉或行政查核,企業主必須關注媒體與民眾的態度,且與同業做資訊交流以做為資源投入的參考指標。