2013年1月29日 星期二

面對個資法的各項挑戰(The challenges of the Personal Information Protection Act)


我想最近IT人最常聽到的議題,不外乎就是個資法的相關議題,自從去年(2012)10月實施以來,我想除了特定行業之外,對於很多同業來說,似乎還沒有這麼切身的感覺吧!?不過,一旦開始瞭解它所包含的內容之廣,就真的很難一派輕鬆的模樣,尤其是現在如果真的出了什麼狀況,舉證責任可是落到了企業本身,並非是自身權益(可能)遭受侵害的一般個人,光是這一點就夠讓人頭大。

企業端若是想證明已善盡保管之責,進一步來降低自己的風險,其實也沒這麼容易,因為要面對的問題有很多,從內部的反彈流程的合理性實際執行面的彈性,甚至還會造成時效上的延宕,但是又不得不正視個資法的限制,畢竟現在是於法有據,更何況在預算有限的條件限制之下,或許最有效的是從「」下手,不過這似乎又會牽扯到企業文化、權責限縮,甚至會造成更多不必要的內耗產生,或許要在兩者之間取得一個平衡點,也不是這麼容易之事。

這或許就是IT人今年不得不面對的現實,這篇就來談談面對個資法時,可能會遇到的各種挑戰吧!或許你會有更好的因應方式?

關鍵字整理:

依據個資法的內容,對於一般企業來說,應該都是屬於非公務機關居多吧?所以在查閱法條相關內容時,就可以先跳過第二章(也只有四條:15~18條),其餘的部分,如果認真看完的話,應該會覺得頭昏腦脹吧!簡單整理就是有下列幾個關鍵字(條文太長請自行查閱):
1.20,000~200,000元:第48條
違反第8~13條、20條之二或三和27條之一或二。

2.50,000~500,000元:第47條
違反第6條之一、19條、20之一和依21條之國際傳輸之命令或處分。

3.20人:第34條
可以提起團體訴訟的人數。

4.200,000,000元:第28條
損害賠償的上限金額,無法提出證明者,每人以500~20,000元為限。

5.負責人得連帶受罰相同金額:第50條
代表人、管理人或其他有代表權人,應並受同一額度罰鍰之處罰,除非能證明已盡防止之義務。
其實在個資法的條文當中,還有洋洋灑灑四、五十條,有需要的人還是自行去翻閱,不過光是上述這些,就足夠讓IT人頭痛,若是你恰巧要負責擬定相關規範,應該會更為頭痛,不過不制定又不行,因為會依據第二十七條(未制定個人資料檔案安全維護計畫或業務終止後個人資料處理方法)被罰20,000~200,000元,也就是上述的第1點。

我們現在回頭來看看,究竟個資法會帶給我們什麼樣的挑戰?

你知道有多少人看過你的資料嗎?

基本上在個資法的範疇當中,最主要的核心議題就是在個人資料的蒐集、處理及利用上,但是在實務上,除非你身處在個人資料相對少的製造業(一般來說只有員工資料),否則少說都會有不少顧客的訂單資料,只要是有機會跟”個人”扯上邊的資料,基本上全都囊括在這次的保障範圍內。

如此一來,我們光是在重新擬定流程就不知道要花費多少時間,簡單舉個例子來說:一個跟公司購買產品的訂戶(個人)資料,會經過多少人之手呢?

就算是最單純的流程,至少就會經過業務、會計和出貨人員之手,若是分工再細一點,會計可能不只一位,這份個人資料還有可能會經過行銷或客服之手,由此可知,光是一個簡單的訂購行為,你的個人資料就有可能會在三~五個人手中流過,或許這也就是為何需要個資法來規範的主因。

遵守個資法的實際做法

不過,若是我們要得符合個資法的要求,基本上原本看似簡單的流程就會變得異常複雜,因為從訂單成立的當下,可能就得先請客人先簽署一張類似「個人資料同意授權使用意向書」的文件,簡單說就是公司用來保護自己的文件,要求客戶同意公司能夠在合理的範圍(至於怎麼樣算合理,就看每間公司各自表述)內蒐集、處理和利用你的個人資料。

 所以這樣子就結束了嗎?其實這才只是開始,因為當這筆個人資料一但進入了公司之後,它就成了公司責任的一部分,若是依照立法的用意,或許能透過品質管制的PDCA(Plan-Do-Check-Act的簡稱)的方式,來進行個人資料的安全控管,一旦進入這個循環之後,接踵而來的就是一堆的文件和資料管制,甚至還得進行必要的軌跡蒐證。

因此,從一開始制定 「個人資料檔案安全維護計畫」之後,接著進行「個資盤點」來貫徹執行、遵守計畫中的相關細節,接著再利用人員及系統來「稽核」個資是否有接受妥善的保護及管制,最後就是採取實際的作為,進一步「提供相關的記錄及佐證資料」,證明公司已善盡個資保管之責,無刻意過失造成個人資料的外洩,藉此釐清相關權責。

對於一般企業來說,光是要符合上述的要求,除了相關計畫的擬定和人員及個資集中化之外,其它像個資盤點、資料遺失保護(DLP:Data Loss Prevention)系統的導入,這些都是一般企業不常著墨的領域,縱使有,也僅針對特定部門(研發、會計部門)居多,若是將它放寬到全公司可能經手個資的相關人員上,這就足夠讓大家忙得不可開交。

更別提還需要另外準備人力和系統來進行內部稽核,這也就是我所指的各項挑戰,要如何在原有流程和有限條件之下,找到一個平衡點,這也就考驗著IT人的智慧,無論是要透過教育訓練、資料重新整合,甚至有些公司反其道而行,盡可能地不收集或處理個人資料,雖然立意良善,但是對於CRM來說,許多原始資料又有其必要之處,端看產業屬性跟公司能夠承擔的風險而定。

注意事項:

如果已經導入相關系統的公司呢?應該就可以高枕無憂了嗎?其實也不盡然,就以上述提及的幾點關鍵字來說吧!

1.20人門檻:

因為團體訴訟的人數門檻是訂在20人,因此有些系統就會將這項目的控管限制在20人以下,簡單說就是如果有一份資料中,包含了20人的個資,基本上就會嚴格控管該筆資料,嚴禁被攜出或轉寄。
2.數字遊戲:
因為損害賠償的上限,若無法提出證明者,每人以500~20,000元為限,一般這種案件是二審定讞,律師費用若以一審30,000元計算,其實就可以簡單算出提告者是否合乎「經濟效益(雖然個詞用在這有點怪,但也頗貼切)」,而且還不包括出庭要消耗的時間成本。

因此,在某些作為上可能會因人數而異,不過,這是指一般無法證明者,若是可以提出具體證明或者是能找到幾個相同的受害者時,基本上也是有某些特定法人團體可以代為提告(依第32條之規定),人數愈多,願意替幫人提告的團體會愈多。
3.連帶賠償:

其實上述提到了不少相關的罰責及內容,基本上我會覺得這一條很有可能是公司會優先執行相關防護的主因,因為這就等同於罰金加倍的效果

另外會於企業經營者來說,公司與個人還是有某些程度的差別(一般來說原本就不一樣,但是,總是會有例外的......),因此,在實際推行個資法相關的規範時,只要多提醒幾次,原則上應該執行起來不會太困難才是,除非,你們是空頭公司或老闆僅為掛名,不然應該都頗有成效才是。

其實在面對這種法律議題的時候,對於IT人來說,反而相對是好處理的,因為沒有太多灰色地帶,也可以找到不少實際的內容來佐證,怎麼做可能是錯的,或是應該要進行那些約束跟控制,這就跟還是很多人會覺得共享或自由軟體就一定可以在公司內使用一樣。

基本上面對個資法施行的挑戰,有預算的大可以引入外來顧問或廠商來進行協助,若是沒有這麼多資源的公司,可能還是會先從限縮權限跟資源開始,初期或許會兵荒馬亂一陣子,但是大家總是會找到出口的,唯一需要擔心的是因此造成工作分配權責的失衡,尤其是一個人當多人用的職場現狀,這也同時考驗著老闆、主管或員工們的智慧,其實這也算是一場全民運動了,您說是嗎?