「雲端服務」大概是這二年最常被政府及企業提及的「用語」之一,不過,每次看到「雲端服務」腦袋裡都會忍不住浮起當年在與Internet初接觸的時候,透過Telent連線到台大計中的主機,使用clm、pine收發e-mail的畫面(有興趣的話,可以點點連結大概了解一下 http://bbs.ntou.edu.tw/gmore?NTOU_EE&F00001AA&5),如果單純從技術的角度來看,恐怕十幾年前大家就已經在雲端來雲端去了!不過,由個人資料保護的角度來觀察,過去的雲端服務,多是使用者個人與服務提供者間直接產生法律關係,個人資料蒐集、處理及利用也僅存在於使用者與服務提供者間,但目前在推的雲端服務,則主要是為了降低政府或企業經營成本,而由雲端服務提供者代替這些本來應該自行、建置、營運的服務提供者,提供相關軟體或資訊服務,這時候就產生雲端服務提供者這個「第三者」介入在個人資料的當事人與名義的服務提供者之間。
針對雲端服務的趨勢,新修正個人資料保護法事實上並沒有針對企業常見的委外處理業務時,併同將與該業務相關之個人資料提供予委外單位的問題加以處理,僅於第4條規定簡單規定「視同委託單位」。法務部民國100年10月27日所公告之施行細則草案[1](以下稱「施行細則草案」)則對於這個問題有所著墨。
施行細則草案第8條規定:「Ⅰ委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受託人為適當之監督。
Ⅱ前項監督至少應包含下列事項:
一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、受託人就第九條第二項應採取之必要措施。
三、有複委託者,其約定之受託人。
四、受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。
五、委託人對受託人保留指示之事項。
六、委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。
Ⅲ第一項之監督,委託人應定期確認受託人執行之狀況,並將確認結果記錄之。
Ⅳ受託人僅得於委託人指示之範圍內,蒐集、處理或利用個人資料。受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通知委託人。」
施行細則草案第9條規定:「Ⅰ本法所稱適當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必要措施。
Ⅱ前項必要措施,應包括下列事項:
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。
Ⅲ第一項必要措施,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。」
由前述有關委託他人蒐集、處理或利用個人資料之監督之規範,可以推知法務部對於委外處理個資,應是將該委外單位當作「履行輔助人」(即該公務機關或非公務機關之「手足」),而非將該委外單位視為獨立之第三人,以「間接」蒐集、處理及利用個人資料之方式規範。然而,施行細則草案這樣的規範方式,將使企業未來涉及個資委外處理事宜簽約時,增加相當的複雜度,亦即,要透過契約監督委外單位是否採取適當之安全措施外,契約上應載明的要求也相對複雜,單純的保密條款或概括性的應保護個人資料的條款,將不足以因應個資法修正的施行。
不過,本文要討論的重點在於,是否只要企業使用雲端服務,而涉及個人資料之蒐集、處理及利用事宜,即屬前開委託他人蒐集、處理或利用個人資料,而須遵守施行細則第8條及第9條之嚴格規範?亦或是另一個角度思考,企業使用雲端服務,是否只要盡前述施行細則第8條及第9條之監督義務,即可免於個人資料外洩時之責任?而由雲端服務業者來負擔這個責任?舉例來說,以2011年最熱門的雲端服務Dropbox為例,若企業使用Dropbox存放其會員資料,若該會員資料因Dropbox伺服器遭駭客入侵而被竊取,則依前開施行細則草案,究竟誰該負個人資料外洩的責任?
依個人資料保護法第4條規定:「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。」原則上,Dropbox若是屬於受委託蒐集、處理或利用個人資料的情形,Dropbox若是有違反個人資料保護法時,則由委託其處理之企業負責,但依據施行細則草案第8條規定,倘該企業有盡監督之責任,則「可能」因而免為對Dropbox違反個人資料保護法之行為負責。
不過,並非企業使用雲端服務,就可以據以降低個人資料之法律風險,以企業將含個人資料的檔案上傳至Dropbox為例,解釋上Dropbox並不知道其係受企業委託代為儲存含有個人資料的檔案,此時,不應適用個人資料保護法第4條及施行細則草案第8條、第9條規定,而應全部由該企業自己負責,該企業最多僅可追究Dropbox在資安防護上的責任(契約責任),亦即,即令雲端服務屬於一種委外取得軟體應用或服務的機制,但絕非只要是雲端服務涉及個人資料議題,即屬於委外蒐集、處理及利用個人資料,二者仍須予以區別。
筆者相信在即將施行的個人資料保護法的壓力之下,企業固然會傾向在使用雲端服務時,儘可能將違反個人資料保護法的風險由雲端業者分擔,強化在涉及個人資料委外蒐集、處理、利用之雲端服務(例如:常見企業電子郵件服務委外、或是企業伺服器委外的情形)之契約監督。但反過來,雲端業者也應該特別注意有關個人資料保護法責任的排除,不屬於受委託蒐集、處理及利用個人資料的雲端服務,建議在契約條款中針對涉及個人資料檔案或服務進行排除或限制,提醒企業或一般使用者勿將含個人資料之檔案或服務透過該等雲端服務處理或利用;或是反向直接強化個人資料安全保護的機制,協助自行管理個人資料更不安全的中小企業降低個人資料保護法的風險,也是一個好辦法。
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?
蕭家捷律師,個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?
蕭家捷律師,個人資料保護法Q&A-聯名信用卡終止發行與個資利用問題
蕭家捷律師,個人資料保護法Q&A-只要消費者曾進行購物,就可以後續進行其他商品或服務的行銷?
蕭家捷律師、賴文智律師,個人資料保護法Q&A-取得政府機關或第三公證單位的認證,是否就能免於個資賠償責任?
蕭家捷律師,個人資料保護法Q&A-網站或App以線上勾選方式取得個資蒐集、利用之同意是否合法?
蕭家捷律師,個人資料保護法Q&A-機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁?
蕭家捷律師,個人資料保護法Q&A-員工的個人資料可以保留多久呢?
賴文智律師,個人資料保護法Q&A-是否應該要求員工一律簽署個人資料同意書?
蕭家捷律師,個人資料保護法Q&A-學校可以公告成績單、獎懲或榜單等事項嗎?
賴文智律師,個人資料保護法Q&A-使用者因個資外洩遭詐騙,可以向業者把遭詐騙的損失全部要回來嗎?
[1] 此一版本之施行細則草案修正對照表可於下述網址取得:http://www.moj.gov.tw/public/Attachment/1102710165577.pdf,
2012/1/1 visited.