日期:2013/04/12
時間:13:50 ~ 15:30
學生:資傳研一 林智偉
演講者:陳鴻彬 顧問
心得:
| 新版個資法施行細則修正草案終於在去年10月26日正式發布預告,最快將於今年開始實施。新版個資法影響的範圍不僅在員工個人資料,更嚴重的是客戶資料,從會員募集、會員管理、會員行銷等流程都可能存在個資洩漏的風險,一旦違法最高可求償2億,更甚的是嚴重影響企業聲譽。由於個資法影響範圍涵蓋各部門,只要擁有一筆個資就需要受到法令的規範;新法對於個人資料之蒐集、處理及利用規定必須善盡告知及保管義務,且採取舉證責任倒置原則,若企業被指控涉嫌個人資料外洩則必須負舉證責任,提出具體證據。依此,企業必然從管理、流程與作業層次建立完整的個資保護機制,才能降低觸法的風險。 對於個人資料的安全保護,如果還是不了解要如何實施,最簡單的方式就是參考其他也有個資法律國家的相關經驗,或是參考受到國際認可的實務準則和標準。舉例來說,在先前的文章曾經提過的OECD八項隱私保護原則、APEC的九項隱私保護綱領,以及美國的安全港架構協定,就是可用的參考依據。 至於在國際認可的個資保護標準方面,由英國標準協會所提出的BS 10012個人資訊管理標準,也是目前在個資管理方面一項很好的參考來源,它採用了常見的PDCA(Plan, Do, Check, Act)管理流程,可將企業對於個資保護的期許和法律要求作為基礎,進而建立一項個資保護的管理計畫(Plan),然後根據這項計畫在企業中實施運作(Do),接著藉由運作過程中所產出的相關文件記錄,透過管理審查和稽核方式進行監督(Check),再依照稽核的結果要求進行改善行動(Act),以確保個資管理制度實施的有效性。 除了英國的BS 10012標準之外,目前由經濟部委託資策會所研擬,針對電子商務業者的「台灣個人資料保護與管理制度」(TPIPAS),也可作為企業在實施個人資料保護措施的參考。 TPIPAS制度的運作分為三個階段,它先從制度的規劃開始來確立個資保護的要求,然後透過教育訓練的方式來培育所需的建置和稽核人員;接下來則是透過受過訓練的內部人員來自行建置,或是藉由外部輔導顧問的協助,將個資保護與管理制度導入企業之中;最後再由合格的稽核人員進行實地審查,確認制度實施的有效性之後,再向主管單位申請發放合格的隱私標章,以此作為企業落實個資保護的一項證明。 |
沒有留言:
張貼留言