《個人資料保護法系列二》──企業維護個人資料應有之認識

　　新版「個人資料保護法」已於2012年10月1日開始施行，因新法加重企業保護個人資料之民事、刑事及行政責任，為因應新法之衝擊，企業應於營運中落實加強對個人資料之保護，以避免相關法律責任。茲就企業維護內部個人資料應有之管理機制，析述如下：

個人資料保護法
就企業維護管理個人資料之相關規範

　　依個人資料保護法第27條規定：「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」所謂「適當之安全措施」，依個人資料保護法施行細則第12條規定，係指為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。而「技術及組織上之措施」，根據同條規定，包括下列事項：
1. 配置管理之人員及相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 使用紀錄、軌跡資料及證據保存。
11. 個人資料安全維護之整體持續改善。

　　企業不論採取上述之任何安全措施，應與所欲達成之個人資料保護目的間，具有適當比例原則，即企業應考量組織規模與保有個人資料之數量或內容，依比例設置適當之安全措施。

企業得採取之適當安全措施

　　根據前述法源規範，企業於規劃個人資料安全管理措施時，大致上有四個面向應予以注意（註）：
1. 組織管理層面
　　企業為實施個人資料維護之安全措施，可於內部配置制度及技術上之專門管理人員，進行如保管及維護個人資料檔案、建立個人資料內部相關制度、安排企業員工之教育訓練、規劃人事異動之交接程序、採購個人資料安全維護設備……等管理工作。必要時，企業亦可設立專職或兼職之「個資長」職位，或以其他專業經理人帶領各部門執行公司個人資料維護政策，並監督各部門於日常作業上善盡保護個人資料之義務。

2. 制度管理層面
　　為確保個人資料之蒐集、處理及利用均符合法令規範，企業應先於內部建立可供員工遵循之作業準則，例如：個人資料之內部管理程序、事故通報及應變機制、資料安全稽核機制、業務終止後個人資料之處理方法……等。

3. 人員管理層面
　　即便企業於內部建立個人資料之管理制度及組織管理模式，若無法使員工瞭解其業務相關之法規遵循事項，即便有完善之制度仍無法降低企業違法之風險，故針對企業員工之法令認知宣導及教育訓練等工作，為落實企業個人資料管理制度最重要之一環。

4. 設備管理層面
　　個人資料檔案之維護工作，除依靠人力資源之外，應有充足之軟、硬體安全管理設備，始能加強管理上之效率，並防禦外在資訊安全之威脅。

　　依個人資料保護法第29條規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」由此可知，企業將來若面臨個人資料侵害爭訟事件時，必須自行舉證對於該侵害無故意或過失之情形，始能免除或減免相關法律責任。故企業內部如有健全之個人資料安全管理措施，除能積極防止個人資料被竊取、竄改或洩漏外，亦能支持企業於訴訟攻防上，證明本身已善盡相關注意義務，即便有個資外洩等情形，亦不可歸責於企業，以降低企業擔負相關法律責任之風險。

註：參考蕭家捷律師著＜企業因應個資法施行應建立之管理機制＞，益思科技法律事務所，http://www.is-law.com/post/17/900。


＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊