個人資料保護法即將於2012年10月公告施行,由於現代企業經營無法與個資之蒐集、處理及利用分離,故許多企業已開始逐步在營運中落實加強對個人資料的保護。以下筆者即嘗試從企業組織的管理、人的管理、物的管理及契約的管理等方面,提供筆者由法規遵循及風險控管方面的觀察與建議供讀者參考:
1.組織的管理
企業組織中常見之組織模式,係基於營業需求設立以專業經理人帶領之各部門分工完成企業整體任務。由於個人資料的使用對於企業而言,無論是內部人事行政,外部行銷企劃,事實上皆難與個人資料的使用脫離。因此,個人資料保護法遵循的落實,將會成為企業日常營運的一部分,企業自應以積極慎重的態度面對。新版個人資料保護法第18條就公務機關規定,「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏」,本條條文規範對象雖僅為公務機關,惟筆者以為一般私人企業,因個別員工事務繁多,若未專人專責,則勢將成「眾人之事」而無人負責。事實上,個資法新上路有諸多細節須調整因應,設置專人有利企業評估自身需求及所面對之個人資料風險。筆者建議規模較大之企業更可考慮設計專職或兼職之「個資長」職位,處理如個人資料檔案建立、保管、維護、個人資料內部相關制度建立、企業員工教育訓練安排、人事異動交接程序規劃、個人資料安全維護設備採購等管理工作。
此外,個人資料於企業中蒐集、利用與刪除或停止之制度設計,亦為因應個資法施行之核心,企業活動涉及個人資料者,均應建立事前之個人資料生命周期評估,確認個人資料蒐集、利用之合法性及其維護成本,納入企業經營活動的一環。以企業必然會基於僱傭契約,為人事行政管理之特定目的而蒐集、處理、利用員工之個人資料而言,企業並非只要告知並取得員工同意之後,即得任意蒐集、利用其個人資料。
由個資法第8條有關告知事項之規範,即可得知在蒐集程序的評估方面,至少應考量所蒐集之類別、特定目的、利用期間及方式;而蒐集後企業又應如何管理?何人得以何種程序接觸該等資料?企業除人事行政外,得否為加以利用,利用時應經何種程序,最後員工離職退休又應如何刪除或停止利用個人資料,於制度上皆應先於內部建立可供遵循之作業準則,始能確保每一筆個人資料之蒐集、利用及刪除或停止利用均符合法令規範。新的商品或服務的推出亦然,從商品或服務本身的設計,到商品或服務的推廣方式,以及對客戶提供服務,或與第三人合作行銷方案等,都須將個人資料的法規遵循及風險控管納入規劃。
2.人的管理
既然個人資料保護法於施行後將滲入企業日常營運許多部分,則企業內將不能只有法務單位就個人資料保護法有較深的認識,而須要全體員工都對個人資料保護法有一定的理解,如什麼時候可以蒐集個人資料、哪些個人資料可以蒐集、蒐集以後應如何保管、日後如何利用、手中的個人資料是否須要停止、新產品或服務設計時是否須要納入個人資料保護考量、該產品或服務的個人資料考量該如何設計,此類與公司業務相關之個人資料法規遵循事項,誠然某些部分可藉由再與法務人員深入討論後修改或做出結論,惟如此一來企業效率亦可能因一再往返修改而遲延。
因此,筆者建議企業除應將個人資料保護列為職前教育、平時教育訓練及工作規範內容外,離職訪談時亦應提醒員工應不得帶走任何個人資料檔案或就其所接觸之個人資料為任何利用,將個人資料保護法令遵循的基本概念深植於員工,使員工於執行各項企業所交辦任務時,能直接對個人資料保護事項做出基本判斷。如:信用卡業務員應知道,客戶的信用卡申請書使得銀行與客戶間,建立了類似契約關係及與此相關之特定目的,因此,信用卡申請書上的個人資料除了基於此項類似契約關係及相同之特定目的外,不得任意調閱或做其他利用。如此不僅加快企業日常營運效率,並可減少企業違反個人資料保護法之機率。
事實上,個人資料與營業秘密類似,許多個人資料違法的案件,都是來自於員工的行為,管理的成本其實是很高的。人的管理能夠以具體方式呈現的話,除降低違法的風險之外,還可以享有另一個好處,就是如日後發生個資侵害的爭訟,企業將較容易於法庭舉證自己已經於平日努力做好個人資料維護工作,縱使無法因此脫免全部法律責任,仍然有可能說服法官企業平日已經投入相當心力於保障個人資料,而使法官做出減輕企業所應負責任之判決的可能。
3.物的管理
個人資料法令遵循工作重點,依筆者觀點有二,即法律程序之落實及個人資料檔案維護工作。法律程序之落實有賴於前述個資主管或法務主管之努力及企業教育訓練之加強,惟個人資料檔案維護工作即於人力資源外仍須軟、硬體資源之襄助能達成,這部分主要就是涉及資安產品的採購及與個人資料管理機制的結合及制度的落實。
通常一般人都難以逐一記住嚴謹的法律規範或企業內部的作業準則,因此,企業除透過資安產品避免個人資料遭到外部人士的竊取或避免因疏失而造成個資外洩事件,就內部管理的重點應該落在如何透過軟、硬體的機制,使內部有關個人資料管理的規範,可以透過技術的方式落實。舉例而言,若企業內部的資訊系統只有權限控管,而無具體的使用記錄,對於個人資料被不當利用時,往往難以早期發現,但若事後個資外洩事件暴發時,內部懲處也無濟於事。以先前台灣高等法院法官違規查詢個資之新聞事件為例,為何事後可直接查證到特定法官在特定時點為不當的查詢,也是因為資訊系統有相應的配套機制。如何使資安產品不限於資訊安全,而擴及個人資料管理,亦是企業未來因應個資法施行的重要工作。
4.契約的管理
企業對內對外法律關係皆是落實於契約中,個人資料保護法施行後,契約內容亦將受到個人資料保護法影響,而有須要調整可能,如依法務部先前公布之個人資料保護法施行細則第8條規定,「委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受委託人為適當之監督」,因此企業如特定業務有將客戶個人資料由物流、印刷、行銷或其他等第三人處理可能,即應於契約中詳細規範第三人應如何遵守個人資料保護法相關規定,企業又將如何對其作監督。
又如企業與消費者間契約中,產品或服務有蒐集消費者個人資料需要時,企業可否於行銷契約中約定,該契約之特定目的包括法務部所公布之所有特定目的,使企業可在任何目的範圍內為利用?依據法務部民國96年所表示之意見,特定目的應需符合與當事人契約或類似契約關係目的範圍內始得為蒐集、處理或利用,是以企業應如何於契約中安排與消費者之法律關係及特定目的,亦將是企業值得注意之處。
綜前所述,個人資料保護法之目的除了保護個人隱私外,亦在促進個人資料之合理利用,因此,雖然法規制訂諸多程序條文及設下各項限制,惟如企業能於平時預先做好各項制度性管理規劃,相信不僅將能消極的降低企業面臨違反個人資料保護法各項刑事、行政與民事責任的風險,亦能積極增加企業名聲並更流暢的利用所蒐集之個人資料。筆者亦期待在政府機關及企業的共同努力下,我們可以重返彼此「互信」的社會環境。
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?
蕭家捷律師,個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?
蕭家捷律師,個人資料保護法Q&A-聯名信用卡終止發行與個資利用問題
蕭家捷律師,個人資料保護法Q&A-只要消費者曾進行購物,就可以後續進行其他商品或服務的行銷?
蕭家捷律師、賴文智律師,個人資料保護法Q&A-取得政府機關或第三公證單位的認證,是否就能免於個資賠償責任?
蕭家捷律師,個人資料保護法Q&A-網站或App以線上勾選方式取得個資蒐集、利用之同意是否合法?
蕭家捷律師,個人資料保護法Q&A-機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁?
蕭家捷律師,個人資料保護法Q&A-員工的個人資料可以保留多久呢?
賴文智律師,個人資料保護法Q&A-是否應該要求員工一律簽署個人資料同意書?
蕭家捷律師,個人資料保護法Q&A-學校可以公告成績單、獎懲或榜單等事項嗎?
賴文智律師,個人資料保護法Q&A-使用者因個資外洩遭詐騙,可以向業者把遭詐騙的損失全部要回來嗎?
蕭家捷律師,個人資料保護法Q&A-父母向學校索取學生成績或其他校內表現記錄,學校該怎麼辦呢?