其他資訊 101年1月公務機密維護宣導 歷史訊息 | 發布日期: 2012/01/02~2012/12/31 | 瀏覽人數: 6人 | 聯絡資訊: 政風室 個人資料真的hold得住嗎? 101.1.03 ◎黃小玲 壹、前言 MIS小王跑進來苦惱地對著同事小林說:行銷部的李經理要我們資料庫所有客戶名單,他說要發行銷DM,這樣到底要不要給呢?聽說現在個人資料保護法很厲害,如果洩漏個人資料,一筆可以罰500元,現在我們的資料庫筆數量超過百萬,你算算看,我們總共可罰多少錢? 小林:可是我們都是同一公司,我家不就等同他家的,自己人沒關係吧?再說以前都有給啊,現在不給,行銷部會不會說我們MIS很機車啊? MIS李經理站起來:小林,我問你一個問題。如果我們真的給行銷部客戶資料,後來某客戶聲稱他的個人資料被我們公司外洩,那麼是誰要負責賠償?是老闆賠?行銷部賠?還是我們MIS賠呢? 小王:經理,這樣到底給,還是不給? 李經理:再議。 貳、安全維護事項 上述小故事道出許多個人資料管理人的心聲,個人資料到底該如何管理才算合乎法令?個人資料分享、共用是否涉及個資外洩呢?個人資料要如何hold得住? 個人資料保護法(以下簡稱個資法)在民國99年5月26公告後,所有個資管理人引頸期盼的就是個人資料保護法施行細則,希望可以從施行細則中找到較具體的作法。終於,法務部於100年10月27日在網站預告「電腦處理個人資料保護法施行細則修正草案條文對照表」(以下簡稱施行細則草案)。以下就從施行細則草案中,第9條所提及之「適當安全維護措施、安全維護事項或適當之安全措施」共11項必要措施,以單獨或整合方式,說明個資擁有者或管理人應如何準備相關管理規範與防護事項。 一、成立管理組織,配置相當資源 面對個資法,首要動作應先成立管理與推動組織,訂定權責與角色分配,俾能順利推動各項因應個資法之措施。組織可以參考圖1個資管理組織圖,成立專責組別,協調與分工處理各項個資業務。 (一)召集人 -負責與統籌各組相關個人資料保護機制之運作。 -提供建立個資管理機制所需之資源。 (二)個資管理委員會 -個人資料保護與管理機制適法性及合宜性之評估與審議。 -定期審視個資管理與技術措施之有效性。 (三)個資推動及管理小組 -負責個資保護與管理制度規劃。 -研擬個資保護要點、規範及作業。 (四)各部門個資專責人員 -各部門個資事務之窗口,負責參與及配合個資管理活動。 (五)事件應變處理小組 -研擬事件/故通報、應變及處理程序。 -個資事故通報、處理及應變活動之聯繫。 (六)個資聯絡窗口 -對外之個人資料保護業務協調。 -接受與回覆個資當事人依法所提出之事項請求。 (七)個資稽核小組 -負責規劃組織對整個個資管理機制之稽核計畫,包括對外查核業務之規劃作業。 管理組織圖應配合現行組織已運行之管理架構,避免疊床架屋,造成權責不明狀況。舉例來說,組織若已有稽核小組或資安應變處理小組,應結合其功能性調整其職掌,以符合資源最佳運用狀態。 二、界定個人資料之範圍 界定個人資料之範圍,可分成3個階段分析所有個人資料範圍。首先盤點現有組織內部或委外業務流程,分析個人檔案基本資訊,再依個人資料生命週期活動列出利害相關人及現行處理方式。 (一)盤點組織內部業務或服務作業流程,包括所有委外作業是否包括個人資料。 (二)個人檔案基本資訊,包括現行保有部門(含委外組織)、檔案類型(數位或紙本)、保有依據及蒐集目的。 (三)個人資料生命週期活動,包括盤點蒐集方式、蒐集者、蒐集介面、儲存位置(複本、備份/援地點)、檔案或軌跡資料之法定或自訂保存期限、連結或內部傳送對象與方式、刪除或銷毀方式,及國際傳輸對象與方式。 三、個人資料之風險評估及管理機制 個人資料管理機制強度與應實施何種安全管理機制,可視組織衝擊分析與風險評鑑結果訂定。組織擁有個資數量多寡或是含有特種個資,如:醫療、基因、性生活、健康檢查及犯罪前科之個人資料,均為應影響管理機制建置之強度與深度。組織可依據以下之衝擊分析檢核表,分析現行管理狀況,再進行後續之風險評估。 (一)目前保有多少筆數之個人資料與每筆資料有多少欄位數量? (二)蒐集個資前是否主動公告其所依循之法源、規範或合約? (三)是否依循相關之法定保存期限? (四)執行個資蒐集相關業務/專案前是否已完成系統安全計畫? (五)以何種方式確認個資內容之正確性? (六)執行業務外,是否利用所蒐集之個資進行資料搜尋、分析或統計等用途?若為是,這些活動是否已告知當事人? (七)是否提供當事人依個人資料保護規定行使之權利? (八)是否定期審視或稽核,以確保個資之蒐集、利用及處理皆遵循已訂定之管理規範? 完成衝擊分析後,可再訂定以下風險評估分析準則,區分不同風險等級。以下為評估準則之範例。 (一)個資類別,區分一般個資與特種個資(醫療、基因、性生活、健康檢查及犯罪前科)。 (二)個資數量,以個資數量若外洩時,對組織影響之大小。 (三)個資之機密性、完整性及可用性被破壞時,會對組織、資產或人員造成傷害之影響等級。 四、事故之預防、通報及應變機制/必要之使用紀錄、軌跡資料及證據之保存 結合現有事件/故通報及處理程序,參考圖2個資事故與應變處理程序,整合組織單一之事件/故通報處理程序,考量個資法之要求,並定期演練以測試應變機制之有效性;同時亦應確認所有委外作業合約中對於個資事故通報處理之要求,要求內部與外部之事件/故通報之程序之一致性。 以下這些預防、通報及應變步驟,可視組織之特性與需要,設計和調整。尤其是通報個資當事人,應於何時通知與何種方式通知,組織應先設計觸發機制,以保護組織並避免造成個資當事人更進一步之損害。 (一)準備階段:預防動作應結合軌跡資料,啟動必要之系統日誌,記錄個人資料存取時之活動,分析可疑事件。 (二)偵測與分析階段:必要證據之保管為現階段最重要之關鍵點,由組織內部或外部專家組成應變及處理團隊,判斷風險發生之來源及可能影響範圍。 (三)減緩與復原階段:避免個資事故擴大,同時確認經個資事故與後續處理程序後,個人資料之完整性。 (四)事後處置階段:持續觀測是否需要進一步鑑識分析,並提出個資事故報告。 五、個人資料蒐集、處理及利用之內部管理程序/資料安全管理及人員管理/設備安全管理 組織若已建置資訊安全管理系統,則可針對現行資訊安全管理程序及作業進行調整,以符合個資保護作業。另一方面則可從現行管理規範中,檢視是否具備以下管理程序與作業要點。 (一)個人資料保護管理要點或個人資料保護政策及管理手冊。 (二)個人資料控管及保護措施程序。 (三)個人資料委外服務管理程序。 (四)人員安全管理及教育訓練程序。 (五)實體環境及設備安全管理程序。 (六)資訊系統存取控制程序。 (七)主機與資料庫管理程序。 (八)資訊設備與軟體管理程序。 (九)個人資料系統開發、維護管理程序。 (十)可攜式媒體檔案管理程序。 管理要點與程序書主要為個資擁有/管理人,可依循相關程序辦理與適切維護個人資料,日後亦可借助相關程序之落實度,驗證組織無故意或過失之責任。 六、認知宣導及教育訓練/資料安全稽核機制/個人資料安全維護之整體持續改善 個資擁有者或管理人須具備辦理安全維護事項之能力,除要求個資專責人員資格外,亦應訂定相關教育訓練作業程序,包括資訊安全、隱私保護及推論控制之控制措施等課程。組織應指派專責小組規劃與執行年度個資教育訓練,提升組織不同屬性人員之個資保護專業能力。 透過資料安全稽核機制,定期檢視組織整體個資管理機制之有效性。同時由個資管理委員會定期審查/核會議,建立PDCA (Plan-Do-Check -Act) 持續管理機制,降低個人資料外洩之風險性。 參、結語 個人資料保護法明訂損害賠償及團體訴訟等條文,有人戲稱如此一來將使個資法商機無限,面對每人每一件新臺幣五百元以上二萬元以下之賠償金額,組織不得不步步為營,謹慎以對。 不論組織是否已準備好面對個資法嚴峻之挑戰,唯有提早進行全面檢視,分析現行狀況與個資法要求之落差,強化不足之處,並持續施以改善計畫,方為適切作法。 (本文源自清流月刊) 法務部廉政署檢舉專線:0800-286-586 線西鄉公所政風室檢舉專線:(04)7587473
