《个人资料保护法系列二》──企业维护个人资料应有之认识

　　新版「个人资料保护法」已於2012年10月1日开始施行，因新法加重企业保护个人资料之民事、刑事及行政责任，为因应新法之冲击，企业应於营运中落实加强对个人资料之保护，以避免相关法律责任。兹就企业维护内部个人资料应有之管理机制，析述如下：

个人资料保护法
就企业维护管理个人资料之相关规范

　　依个人资料保护法第27条规定：「非公务机关保有个人资料档案者，应采行适当之安全措施，防止个人资料被窃取、窜改、毁损、灭失或泄漏。」所谓「适当之安全措施」，依个人资料保护法施行细则第12条规定，系指为防止个人资料被窃取、窜改、毁损、灭失或泄漏，采取技术上及组织上之措施。而「技术及组织上之措施」，根据同条规定，包括下列事项：
1. 配置管理之人员及相当资源。
2. 界定个人资料之范围。
3. 个人资料之风险评估及管理机制。
4. 事故之预防、通报及应变机制。
5. 个人资料蒐集、处理及利用之内部管理程序。
6. 资料安全管理及人员管理。
7. 认知宣导及教育训练。
8. 设备安全管理。
9. 资料安全稽核机制。
10. 使用纪录、轨迹资料及证据保存。
11. 个人资料安全维护之整体持续改善。

　　企业不论采取上述之任何安全措施，应与所欲达成之个人资料保护目的间，具有适当比例原则，即企业应考量组织规模与保有个人资料之数量或内容，依比例设置适当之安全措施。

企业得采取之适当安全措施

　　根据前述法源规范，企业於规划个人资料安全管理措施时，大致上有四个面向应予以注意（注）：
1. 组织管理层面
　　企业为实施个人资料维护之安全措施，可於内部配置制度及技术上之专门管理人员，进行如保管及维护个人资料档案、建立个人资料内部相关制度、安排企业员工之教育训练、规划人事异动之交接程序、采购个人资料安全维护设备……等管理工作。必要时，企业亦可设立专职或兼职之「个资长」职位，或以其他专业经理人带领各部门执行公司个人资料维护政策，并监督各部门於日常作业上善尽保护个人资料之义务。

2. 制度管理层面
　　为确保个人资料之蒐集、处理及利用均符合法令规范，企业应先於内部建立可供员工遵循之作业准则，例如：个人资料之内部管理程序、事故通报及应变机制、资料安全稽核机制、业务终止後个人资料之处理方法……等。

3. 人员管理层面
　　即便企业於内部建立个人资料之管理制度及组织管理模式，若无法使员工了解其业务相关之法规遵循事项，即便有完善之制度仍无法降低企业违法之风险，故针对企业员工之法令认知宣导及教育训练等工作，为落实企业个人资料管理制度最重要之一环。

4. 设备管理层面
　　个人资料档案之维护工作，除依靠人力资源之外，应有充足之软、硬体安全管理设备，始能加强管理上之效率，并防御外在资讯安全之威胁。

　　依个人资料保护法第29条规定：「非公务机关违反本法规定，致个人资料遭不法蒐集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限。」由此可知，企业将来若面临个人资料侵害争讼事件时，必须自行举证对於该侵害无故意或过失之情形，始能免除或减免相关法律责任。故企业内部如有健全之个人资料安全管理措施，除能积极防止个人资料被窃取、窜改或泄漏外，亦能支持企业於诉讼攻防上，证明本身已善尽相关注意义务，即便有个资外泄等情形，亦不可归责於企业，以降低企业担负相关法律责任之风险。

注：参考萧家捷律师着＜企业因应个资法施行应建立之管理机制＞，益思科技法律事务所，http://www.is-law.com/post/17/900。


＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊