近期,顧問職人在輔導企業導入 PIMS 隱私資訊管理系統 時,領導力亦協助因應主管機關來函要求建制個資規範的客戶,協助著手處理個資保護流程與 SOP建置,將過程中重要的資訊整理如下,提供本篇的讀者參考。
企業在個資保護上的六個 FAQ
Q1. 非公務機關建置個人資料檔案安全維護處理辦法之法源為何?
Ans:
依照 個資法第 27 條,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。
Q2. 建置個資保護規範的主要效益?
Ans:
有助了解個人資料收集方式、收集來源、收集對象等個資隱私資訊,透過組織個資管理流程與程序,例如:制定明確的個資管理政策,在資料收集時的告知聲明及儲存規範,並定期進行 DPIA(隱私衝擊分析),確認資料收集、處理與利用之合理性、評估對個資當事人的權利與風險之影響,並針對相關風險於整體資料生命週期過程中提供資料防護與安全的管控措施,將相關風險盡可能降低至可接受範圍。此外,並進一步達成法令遵循之效益,避免企業同仁不清楚個資規範而誤觸紅線。
Q3. 2022 年有哪些產業之個人資料檔案維權維護管理辦法進行法令修訂?
Ans:
各個產業依照其產業特性,進行個資管控之要求,舉例來說,2022年12月行政院農業委員會要求保有消費者個人資料一千筆以上之農藥販賣業,應訂定個人資料檔案安全維護計畫。
以下羅列 2022 年有進行修訂之個人資料檔案安全維護管理辦法:
Q4. 國際上個資保護的趨勢為何?
Ans:
消費者個資保護意識抬頭,相關消費者隱私保護規範逐步建立中,例如近期(2023年2月)美國眾議院法案將使佛蒙特人可以選擇要求不可追蹤他們的個人資料,並可請求刪除已經被收集的任何個資。
該法案也將保護生物識別資料(biometrics)例如指紋、臉部識別、虹膜識別,禁止企業在未經個人同意的情況下收集或保留該類數據。
可以了解到,個人之生物特徵尤其是未來個資保護法令的管制重點。
Q5. 個資保護若不周,各國如何處置?
Ans:
- 以美國為例,加州消費者隱私保護法(California Consumer Privacy Act 2018,CCPA),可由法院針對單一違法行為最高得處 2500美元(故意犯 7500 美元)之罰金,並得發布相關禁制或確認性救濟令(資料參考來源:國家發展委員會官網)。
- 以歐洲的一般資料保護規則(GDPR)來說,針對違規企業,最高可裁罰企業全球營收的 4% 或 2,000 萬歐元。(擇高)
- 台灣個人資料保護法之法律責任如下:
- 民事責任:同一事件民事損害賠償最高總額提高至新臺幣2億元,被害人不易或不能證明其實際損害額時,得請求法院依侵害情節以新臺幣 500 元以上 20,000 元以下計算。(個資法第28條)
- 刑事責任:對於意圖營利之違法行為,刑責至5年以下有期徒刑得併科新臺幣1 百萬元以下罰金,非告訴乃論。(個資法第42條)
Q6. 建立個人資料檔案安全維護處理辦法之成功關鍵因素 (KSF) 為何?
Ans:
個資外洩可能對於企業花費多年建立的聲譽大打折扣,應參考所屬產業主管機關所訂定的個人資料檔案安全維護處理辦法,於內部隱私資訊管理系統(PIMS,例如:ISO/IEC 27701)相關程序規範中明訂諸如個人資料盤點之流程及相關資安事故/個資外洩之應變通報流程等環節,強化個資保護之有效性。
個人資料保護的管控有賴企業在資訊安全及隱私規範之資源與心力投注,唯有公司高階主管及全體人員有所了解個資之蒐集、處理、利用之流程現況與風險所在,定期及不定期進行教育訓練與宣導,並針對可存取個資之單位與人員之核心範疇進行每年至少一次的查核,及時找出有所偏差或有改善空間之流程,以利持續改善。
(推薦必備課程 >> 個資法基礎課程-企業同仁應了解的個資風險)
----
在這資訊快速擴張的世代,個人保密資料遍佈整個無形的網陣圖中,如何建構一個完整的安全管理制度是很重要,而目前在台灣常見的標準有 ISO 27701:2019國際個資管理標準、TPIPAS台灣個人資料保護管理規範等等,企業若有規劃需求,都歡迎留言與 領導力企管 聯繫。
COMMENTS