2012年2月2日 星期四

因應新版「個資法」已迫在眉睫!

立法院於99526日公布之「個人資料保護法」,參考亞太經濟合作論壇(APEC:Asia-Pacific Economic Cooperation )的隱私保護九大原則,其目的在保護國人個人隱私資料合理流通的原則下,取得平衡的衡量基準修訂重點包括擴大個人資料保護的範圍不再限制行業別、對於個人資料的蒐集/利用/處理有更明確的要求等等且對於中央及地方行政監督單位,有更明確的權利與罰則。
公司於「個人資料保護法」施行前,應研辦下列事項:依個人資料生命週期之蒐集、處理、利用國際傳輸等活動,將保有個人資料檔案名稱、存放位置或處置、保有個資檔案之依據及特定目的、個人資料類別等法定項目查明清楚,並建立個資檔案清冊。相關個資分析與辨識需透過跨部的個資盤點作業,才能完整辨識出個資流程的管制點。
此外公司應訂定個人資料保護管理要點,而由公務機關指定「專人」辦理個人資料安全維護事項,非公務機關則應採行適當之安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。針對當事人個資同意權之表示、請求權之行使,需設置「個資保護連絡窗口」或對應之回應計劃,以符合法令之規範。為協助制度的推行,建議應設置專責個資保護小組,並指定「召集人」,以便統一決策及執行。

圖1:個資管理系統前置作業流程(自行整理)

新版個資法正式施行時間,尚待行政院審核,目前各界對於施行細則草案仍有諸多討論,屆時新法實施後之企業緩衝期勢必將會調整,很有可能實際緩衝宣導期間將少於一年!所以,對於已具有ISMS架構之企業/組織而言,除了應加強涉及個人資料部分管理之有效性外,仍需同時檢視相關之技術配套措施是否足夠!至於未建立ISMS架構之企業/組織,建立一套符合法律規範及包含管理面與技術面之個人資料管理系統(PIMS),實屬燃眉之急啊!

圖2:個資管理系統前置作業流程
     (自行整理)
                                               導入

     個資保護管理系統   
                 補強