2012年9月6日 星期四
委託機關無個資應盡責任?
最近公司與某某超市接洽個資法因應事項,某某超市某處長回答:
該公司的網購是架構在YAX平台,而在公司網站所進行的網購活動,其購買資料及會員資料均由YAX負責。所以就現況來看,個資因應尚不需要特別有其動作。....
其實不是喔:
個資法第四條:受委託蒐集、處理及利用個人資料者,於個資法適用範圍內,視同委託機關。就是表示無論公家或非公家機關,既使委託他人處理個資,同樣受個資法規範。
白話點說:受委託蒐集、處理或利用個資之法人或自然人,仍應依委託機關應適用之規定為之,就是說,相關權責仍屬委託機關(委託機關為權責歸屬機關)。
舉例 之前某銀行委外作硬碟銷毀,但有未銷毀之硬碟流出 造成當事人損失
兆豐銀行被依舊版個資法及銀行法開罰200萬元。所以,個人資料責任歸屬 不會因為委託他人處理,就轉為向受委託機關究責,委託機關仍然受到法律規範。
個資法施行細則草案有一案例,A醫院委託B醫院進行某罕見疾病之病例分析、術後追蹤、新藥與療程技術開發等研究,B醫院受委託蒐集、處理或利用個人資料於本法適用範圍內,並依A醫院應適用新版個資法之相關規定為之,當事人如有行使本法相關權利時,應向委託機關A醫院為之。
另外,施行細則草案第八條:
委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受託人為適當之監督。前項監督至少應包含下列事項:
一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、受託人就第九條第二項應採取之必要措施。
三、有複委託者,其約定之受託人。
四、受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。
五、委託人對受託人保留指示之事項。
六、委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。
第一項之監督,委託人應定期確認受託人執行之狀況,並將確認結果記錄之。
受託人僅得於委託人指示之範圍內,蒐集、處理或利用個人資料。受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通知委託人。
所以,委託機關並不是沒事做 只是相關法規案例未出,大家以為沒事,還是要注意喔!
2012年4月14日 星期六
個資法第6條…模糊空間大 立委也抓狂《聯合新聞網》
個人資料保護法目前窒礙難行,根據立法院公報顯示,這項法案在國會審查過程中,朝野立委已針對行政院版本提出不少質疑,尤其第六條有關個人性生活不得蒐集、處理或利用的規定,當時的民進黨立委賴清德質疑「性生活」與「性行為」界定不明,有政府介入夫妻的性生活的疑慮。
對於個資法引起混淆的內容,賴清德當時說,若性生活指一段穩固關係所產生的性行為,這就不可以蒐集嗎?但是萍水相逢的一夜情,就可以蒐集?在場備詢法務部官員根本無法說明,只能推給日後在施行細則明定。
國民黨立委吳清池當時也提出,法務部是以防止電腦資訊詐騙的角度修法,但是修法卻綁死候選人,他舉例,碰到選舉期,候選人要取得選民姓名、電話、住址等,是否受個資法保護?他認為個資法應該排除選舉使用限制。可是,法務部一樣無法說明,只推給如果是經合法程序向電信公司索取個人已公開的資料,則可合法運用。
吳清池說,書面通知當事人,取得同意才能去拜票,根本就不可行,如果取得個資都必須當事人書面同意,大家都不必選了。
吳清池質疑,銀行移轉債權的催債者,是銀行以外的第三者,當取得資訊後,很容易把資訊流出去。尤其許多銀行轉讓債權,可是債務人並不知道,行使催債的人,又要如何證明自己是銀行的人?委託催收的人,不具備資格時,債權一再轉讓,會產生爭議。
當時的國民黨立委朱鳳芝認為,個資法沒有專責單位負責,政府機關會推來推去,她主張要有單一專責機關負責。法務部回答說,法律有點複雜,要找專責單位負責,可能有問題。朱鳳芝希望法務部負責,當時備詢的法務部次長蔡茂盛說,不敢說法務部可以負責,法務部不是主管機關,但會擔起職責。
國民黨立委謝國樑說,前立委邱毅揭發陳哲男與陳敏賢到韓國濟州島賭場照前,難道也要先通知兩位當事人嗎?他認為,立法是規範犯罪,不該連揭發犯罪的人一併規範到了。
謝國樑表示,個資法規定有行政檢查權,有侵入司法權的嫌疑,使用行政檢查權就可以到民眾家中,扣押帶回硬碟、電腦。在場的法務部官員都認為,確實是有爭議。 ...............................................................................................................................
註:《個資法》第6條:有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。《個資法》第54條:本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。
資料來源:http://news.cts.com.tw/udn/politics/201204/201204120979014.html
2012年2月14日 星期二
個資法條文~整理(七)「個人資料完整性原則」
「個人資料完整性原則」相關法條:
第 11 條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。(11-1)
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。(11-2)
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。(11-3)
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。(11-4)
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。(11-5)
2012年2月7日 星期二
個資法條文~整理(六)「當事人自主原則」
「當事人自主原則」相關法條:
第 3 條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。
二、請求製給複製本。
三、請求補充或更正。
四、請求停止蒐集、處理或利用。
五、請求刪除。
第 10 條 公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
二、妨害公務機關執行法定職務。
三、妨害該蒐集機關或第三人之重大利益。
第 11 條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。(11-1)
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。(11-2)
個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。(11-3)
違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。(11-4)
因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。(11-5)
第 13 條 公務機關或非公務機關受理當事人依第十條(當事人自主/查詢及更正原則)規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。(13-1)
公務機關或非公務機關受理當事人依第十一條(當事人自主/查詢及更正原則)規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。(13-2)
2012年2月2日 星期四
因應新版「個資法」已迫在眉睫!
立法院於99年5月26日公布之「個人資料保護法」,係參考亞太經濟合作論壇(APEC:Asia-Pacific Economic Cooperation )的隱私保護九大原則,其目的在於保護國人個人隱私及資料合理流通的原則下,取得平衡的衡量基準,修訂重點包括擴大個人資料保護的範圍、不再限制行業別、對於個人資料的蒐集/利用/處理有更明確的要求等等,並且對於中央及地方行政監督單位,有更明確的權利與罰則。
公司於「個人資料保護法」施行前,應研辦下列事項:依個人資料生命週期之蒐集、處理、利用與國際傳輸等活動,將保有個人資料檔案名稱、存放位置或處置、保有個資檔案之依據及特定目的、個人資料類別等法定項目查明清楚,並建立個資檔案清冊。相關個資分析與辨識需透過跨部的個資盤點作業,才能完整辨識出個資流程的管制點。
此外公司應訂定個人資料保護管理要點,而由公務機關指定「專人」辦理個人資料安全維護事項,非公務機關則應採行適當之安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。針對當事人個資同意權之表示、請求權之行使,需設置「個資保護連絡窗口」或對應之回應計劃,以符合法令之規範。為協助制度的推行,建議應設置專責個資保護小組,並指定「召集人」,以便統一決策及執行。
新版個資法正式施行時間,尚待行政院審核,目前各界對於施行細則草案仍有諸多討論,屆時新法實施後之企業緩衝期勢必將會調整,很有可能實際緩衝宣導期間將少於一年!所以,對於已具有ISMS架構之企業/組織而言,除了應加強涉及個人資料部分管理之有效性外,仍需同時檢視相關之技術配套措施是否足夠!至於未建立ISMS架構之企業/組織,建立一套符合法律規範及包含管理面與技術面之個人資料管理系統(PIMS),實屬燃眉之急啊!
圖2:個資管理系統前置作業流程
(自行整理)
個資保護管理系統
補強
2012年1月31日 星期二
個資法條文~整理(五)「個人資料利用原則」
「個人資料利用原則」相關法條:
第 5 條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
公務機關
第 16 條 公務機關對個人資料之利用,除第六條第一項(蒐集限制原則)所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人書面同意。
非公務機關
第 20 條 非公務機關對個人資料之利用,除第六條第一項(蒐集限制原則)所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:(20-1)
一、法律明文規定。
二、為增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人書面同意。
非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。(20-2)
非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。(20-3)
2012年1月24日 星期二
個資法條文~整理(四)「蒐集限制原則」
「蒐集限制原則」相關法條:
第 6 條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:(6-1)
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。
前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。(6-2)
第 53 條 本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。
公務機關
第 15 條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。
二、經當事人書面同意。
三、對當事人權益無侵害。
非公務機關
第 19 條 非公務機關對個人資料之蒐集或處理,除第六條第一項(蒐集限制原則)所規定資料外,應有特定目的,並符合下列情形之一者: (19-1)
一、法律明文規定。
二、與當事人有契約或類似契約之關係。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人書面同意。
六、與公共利益有關。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。(19-2)
2012年1月17日 星期二
個資法條文~整理(三)「告知原則」
「告知原則」相關法條
第 7 條 第十五條第二款及第十九條第五款(蒐集限制原則)所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。 (7-1)
第十六條第七款、第二十條第一項第六款(個人資料利用原則)所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。(7-2)
第 8 條 公務機關或非公務機關依第十五條或第十九條(蒐集限制原則)規定向當事人蒐集個人資料時,應明確告知當事人下列事項:(8-1)
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
有下列情形之一者,得免為前項之告知:(8-2)
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害第三人之重大利益。
五、當事人明知應告知之內容。
第 9 條 公務機關或非公務機關依第十五條或第十九條(蒐集限制原則)規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款(告知原則)所列事項。(9-1)
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
第一項之告知,得於首次對當事人為利用時併同為之。(9-2)
2012年1月16日 星期一
向日本P-Mark取經,看隱私標章如何建立公信力
新版個資法對企業帶來不少衝擊,為了協助企業做好法規遵循,各個目的事業主管機關皆有不同作法,其中,經濟部於今(2011)年5月宣告設置個人資料保護管理制度TPIPAS及個資保護標章DP-Mark,但由於目前僅止於試辦階段,關於制度維運的相關措施(如:收費標準、驗證方式、輔導機構…等)皆未明朗化,也讓許多人對於標章的公正客觀性抱持懷疑態度。 日前來台參加研討會的JIPDEC隱私標章推動中心副中心長關本貢,以日本推動隱私標章P-Mark經驗為例,分享JIPDEC如何維護與建立隱私標章的客觀、獨立、公平、與可信度。JIPDEC負責隱私標章發放,並成立多個不同功能的組織,各司不同領域,透過層層監督審查機制建立P-Mark的公信力。 一、隱私標章制度委員會 由外部專家、教授、企業和消費者代表、律師…等共同組成,負責制度審議與維運、取消P-Mark標章使用資格、指定審查機構…等工作。 二、審查機構與審查委員會 當企業提出申請P-Mark需求時,必須由審查機構進行書面與現場審查,評估申請者是否符合JIS Q 15001:2006的規範,並產出審查報告書,交由審查委員會決定能否授與隱私標章。審查委員會的組成,與隱私標章制度委員會的組織成員類似,一樣由外部專家、教授、企業和消費者代表、律師…等組成。 至於哪些單位可以擔任審查機構?隱私標章制度委員會訂有「隱私標章授證審查調查機構指定基準」,只要符合相關條件者,就可以申請成為審查機構,由隱私標章制度委員會決定是否通過。目前日本共有19個指定審查機構,1個隸屬於JIPDEC編制下的審查業務室,12個產業審查機構(只接受特定產業提出的申請),以及6個地區審查機構(只接受位於特定地區企業所提出的申請)。 三、審查員資格評估委員會 審查機構受理企業提出的申請,實際執行審查作業的則是審查員,若要成為P-Mark審查員,必須接受特定訓練才可以。截至2011年3月為止,JIPDEC共指定5個機構辦理P-Mark審查員訓練,首先要接受為期5天的課程,才能成為助理審查員,之後若升為審查員,還須接受半天的訓練課程,最後則是主任審查員,JIPDEC成立了一個審查員資格評估委員會,負責審查員的資格審核,至2011年9月底,日本共有1,189位審查員。 四、消費者申訴窗口 在JIPDEC組織和每一個審查機構下,皆設有消費者申訴窗口,負責受理消費者對企業個資保護相關的疑問或投訴,假如取得P-Mark標章的企業發生個資外洩事件,也會介入調查並要求改善。目前,JIPDEC組織在消費者申訴窗口的人力編制,除了經理、助理各1名之外,還有4個正職顧問及1個兼職顧問。 五、異議審查會 最後還有一個異議審查會,此為機動性編制。只要有任何與隱私標章本體、申請企業、審查委員身份有關的爭議,隱私標章制度委員會就會啟動異議審查會機制,直到爭議解決為止。 回到台灣TPIPAS來看,由於目前還在試辦階段,輔導、驗證及教育訓練皆由資策會科法中心負責,至於未來規劃,經濟部商業司7科科長陳威達表示,目前構想為,開放輔導廠商的身份限制、不做總量管控,只要提出書面申請,經過基本審查程序就可以,至於驗證廠商的門檻較高,必須經過嚴格的資格審查,且會管控數量,預計只開放2或3家,而標章發放工作仍由商業司來負責,但陳威達強調,這只是初步規劃,還須經過內部開會討論,預計年底才會有明確的方向。 |
原文網址:向日本P-Mark取經 看隱私標章如何建立公信力,Information Security 資安人科技網http://www.isecutech.com.tw/article/article_detail.aspx?aid=6471#ixzz1jgRwyCsw
2012年1月10日 星期二
個資盤點刻不容緩 掌握風險才能做好控管
新版個資法對企業衝擊很大,惟因施行細則尚未公佈,使得許多企業遲遲未展開因應腳步,希望等到施行細則正式上路後,再來決定該做哪些因應措施。然而,這樣的因應速度未免過於緩慢,針對部份一定要做、而且不會受到施行細則影響的事情,企業應該趁早開始,個資盤點便是其一。
日前,庫柏資訊針對政府公務部門舉辦「面對個人資料保護新法」研討會,便提出個資盤點的重要性。資拓宏宇顧問諮詢服務處協理張美月指出,企業個資盤點最常遇到的問題就是,盤點者不瞭解個資的定義,誤以為自己手中沒有與個資相關的資料,因此在個資盤點之前,最好先對員工進行教育訓練,告知哪些類型的資料屬於個人資料,並培訓種子員工,才能順利完成個人資料的盤點工作。
除了透過人為盤點之外,也能借助DLP(資料遺失防護Data Loss Prevention)或(DAM Database Activity Monitoring資料庫行為監控系統)等資安工具來進行。庫柏資訊技術支援部經理黃世明表示,個資盤點是保護個資的第一步,惟有全面清查可能存放敏感性資料的資料庫及存取管道,才能做進一步地監控與管理,使用DAM盤點個資的程序包括:確認資料範圍、尋找目標、討論資料規則、自動掃描、確認資料的控管類型(如:敏感資料、機密資料)、設定資料使用與管控策略。
個資法通過後,企業手中握有多少筆個人資料,就代表其背負的風險有多大,因此,個資盤點工作刻不容緩,惟有掌握自身的風險大小,才能規劃相對應的保護之道,進而降低資料外洩的風險。
作者:廖珮君 -09/19/2011
原文網址:個資盤點刻不容緩 掌握風險才能做好控管,Information Security 資安人科技網http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=6315#ixzz1j7P6x4Bo
日前,庫柏資訊針對政府公務部門舉辦「面對個人資料保護新法」研討會,便提出個資盤點的重要性。資拓宏宇顧問諮詢服務處協理張美月指出,企業個資盤點最常遇到的問題就是,盤點者不瞭解個資的定義,誤以為自己手中沒有與個資相關的資料,因此在個資盤點之前,最好先對員工進行教育訓練,告知哪些類型的資料屬於個人資料,並培訓種子員工,才能順利完成個人資料的盤點工作。
除了透過人為盤點之外,也能借助DLP(資料遺失防護Data Loss Prevention)或(DAM Database Activity Monitoring資料庫行為監控系統)等資安工具來進行。庫柏資訊技術支援部經理黃世明表示,個資盤點是保護個資的第一步,惟有全面清查可能存放敏感性資料的資料庫及存取管道,才能做進一步地監控與管理,使用DAM盤點個資的程序包括:確認資料範圍、尋找目標、討論資料規則、自動掃描、確認資料的控管類型(如:敏感資料、機密資料)、設定資料使用與管控策略。
個資法通過後,企業手中握有多少筆個人資料,就代表其背負的風險有多大,因此,個資盤點工作刻不容緩,惟有掌握自身的風險大小,才能規劃相對應的保護之道,進而降低資料外洩的風險。
作者:廖珮君 -09/19/2011
原文網址:個資盤點刻不容緩 掌握風險才能做好控管,Information Security 資安人科技網http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=6315#ixzz1j7P6x4Bo
ISO27001 vs 個資法導入遇上的問題
最近在ISO27001和個資法(PIMS)導入的討論中,長官和前輩給了不少意見,在Blog跟大家分享,以供類似情況之參考。
1.資產盤點與個資盤點是否應該同時進行!?
個資盤點的部分,因為先進行個資盤點能幫助釐清個資處理(保存)的狀況
所以先進行個資盤點 再進行資訊資產盤點 將有助於兩系統整合
特別是個資清冊的建立。
當然資產盤點與個資盤點是可以同時進行盤點,
但原則是要先請組織鑑別其保有之個資來源,再併入ISO 27001資產盤點。
建議先上個資盤點課程,並先收集個資來源項目,
之後再進行資訊資產盤點,確認後再進入風險評估階段。
2.ISO27001似乎對人力資源安全控制領域中
對聘僱人員的資格有其標準,有些例如信用核對或犯罪紀錄檢核的部分
是涉及敏感個資或是法規所不允許蒐集、處理及利用的
這個部份在資安環境審查的階段,個資法是否就應該一同進場討論?
還是分開討論後 再作修正?
某公司人事專員處理新進人員報到時,新進人員提出:“公司詢問她是否有犯罪紀錄是違法的,因為個資法載明犯罪前科屬於特種個資,依法不得蒐集”,是故該員堅持不填該員工資料表中需揭露事項。(from 「個資法及ISO 27001共通性與操作概述~黃小玲」)
關於ISO 27001所提到的人力資源安全控制,主要區分為面試錄取前、在職過程與離職過程。手法可能是:面試錄取前向前公司徵信當事人是否有資安犯罪、不良紀錄或不良評價;在職過程的教育訓練與ISO 9001相同,將課程著重在資訊安全;而離職過程主要是在談停權時間點與離職流程的控管。
而對於聘僱人員的信用核對與犯罪紀錄徵信,只要在面試資料表中不揭露,也就是不收集,就沒有個資的問題。(詳細作法應以個資法施行細則或各行業別個資法行政命令/法規公告為準)
所以ISO 27001與個資資料管理,在人力資源安全控制領域同時討論時,是必要整合兩個系統上對人理資源管理上的要求,設計一套兼顧資安管理制度與法令遵循的控管措施。當然重點是該組織的面試錄取前、在職過程與離職過程要很了解,才能一次整合到位。
3.個人資料處理及利用的事項包括資訊處置、存取控制、權限管制等等...
可以等到ISO27001系統建立後,再依ISMS的作業流程來作管理,
如此一來便於將個人資訊安全處理整合在資安系統之中管制。
(BS10012標準就有將ISO27001資訊安全認證列在條文中描述,條文4.13)
4.資安之緊急事故處理程序、法規識別與個資威脅事件管理程序、法規遵循等等....
可以作整合處理,因為過程中的工具與作法都相同。
5.另外是個資銷毀的部分原先自己的想法是納入各作業個資處理的流程之中,
經過前輩的提醒,我複習一下法規中的敘述:
個資法27條除提到須採行適當安全措施以保有個人資料檔案外,
另外針對業務終止後同樣也要求訂定相關個資處理方法!
所以
將個資銷毀的項目獨立出來,
一方面 統一的銷毀辦法及規定可以加強組織對個資銷毀的管理
另一方面也可以對應到外部驗證要求或是行政檢查項目,
真是恍然大悟阿!
以上~
個資法條文~整理(二)「預防損害原則」
「預防損害原則」相關法條:
第 12 條 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
第 30 條 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。
第 32 條 依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上。
第 34 條 對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。(34-1)
前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。(34-2)
其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。(34-3)
其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。(34-4)
前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。(34-5)
依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。(34-6)
第 35 條 當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟。(35-1)
財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。(35-2)
第 36 條 各當事人於第三十四條第一項及第二項(預防損害原則)之損害賠償請求權,其時效應分別計算。
第 37 條 財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。(37-1)
前項當事人中一人所為之限制,其效力不及於其他當事人。(37-2)
第一項之限制,應於第三十四條第一項(預防損害原則)之文書內表明,或以書狀提出於法院。(37-3)
第 38 條 當事人對於第三十四條(預防損害原則)訴訟之判決不服者,得於財團法人或公益社團法人上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。(38-1)
財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人,並應於七日內將是否提起上訴之意旨以書面通知當事人。(38-2)
第 39 條 財團法人或公益社團法人應將第三十四條(預防損害原則)訴訟結果所得之賠償,扣除訴訟必要費用後,分別交付授與訴訟實施權之當事人。(39-1)
提起第三十四條第一項(預防損害原則)訴訟之財團法人或公益社團法人,均不得請求報酬。(39-2)
第 40 條 依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。
公務機關
第 18 條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
第 28 條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。(28-1)
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。(28-2)
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上、二萬元以下計算。(28-3)
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。(28-4)
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。(28-5)
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。(28-6)
第 31 條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定。(31-1)
損害賠償,除依本法規定外,非公務機關適用民法之規定。(31-2)
第 33 條 依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。(33-1)
對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。(33-2)
前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。(33-3)
第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。(33-4)
非公務機關
第 27 條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。(27-1)
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。(27-2)
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。(27-3)
第 28 條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。(28-1)
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。(28-2)
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上、二萬元以下計算。(28-3)
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。(28-4)
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。(28-5)
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。(28-6)
第 29 條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。(29-1)
依前項規定請求賠償者,適用前條第二項至第六項規定。(29-2)
第 31 條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定。(31-1)
損害賠償,除依本法規定外,非公務機關適用民法之規定。(31-2)
第 33 條 依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。(33-1)
對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。(33-2)
前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。(33-3)
第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。(33-4)
2012年1月8日 星期日
個資法條文~整理(一)
※本法規部分或全部條文尚未生效,本法 99.05.26 修正公布之全文施行日期,由行政院定之。但現行條文第19~22、43 條之刪除,自公布日施行。
第 1 條 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
第 2 條 本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
第 4 條 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
第 1 條 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
第 2 條 本法用詞,定義如下:
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
第 4 條 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。
訂閱:
文章 (Atom)