個人資料保護之實務重點

2018-11-26

作者:宋範翔律師

原刊載於中華法律風險管理學會網站

前言

要做好個人資料的保護,基本上有賴於科技、管理與法律三大要素的結合與有效運作。在本文中,科技;指與個人資料蒐集、處理與利用有關之軟、硬體技術與設備等。管理;指為使個人資料與資訊之運用,達成組織政策與目標之手段與方法。法律;指與個人資料保護有關之法令規章之遵循。

正確的認知與心態

為了做好個人資料的保護,在執行時,應首先建立良好的認知與心態,並遵守幾個基本原則,但是在實務上,常耳聞以下的聲音:

◇ 只要將資訊安全做好了,就不會有個資外洩問題,自然不會有個資違法的責任?

◇ 組織已通過個人資料或隱私權相關的管理認證或標章,自然符合個資法要求,無違法之疑慮?

◇ 個資法要求感覺很嚴格,似懂非懂,最好的方式就是不要分享或是不要利用,自然不會有違法問題?

然而以上的認知並不正確,常導致組織運作出現問題。

就科技設備的防護而言,雖然密不透風的管制,讓個資外洩的機率降到最低,或許可達到資訊安全的要求,但個人資料的運用卻未必適法。例如;個人資料雖僅在組織內流動,但在非法律明文規定、非當事人自行公開或書面同意、非執行法定職務或履行法定義務、非經個資去識別化所作之統計或學術研究等情況下,讓各單位可以隨意調閱醫療或犯罪前科等特種個資,以致違反個人資料保護法(個資法)第6條規定。

通過或取得個資或隱私權的相關驗認證或標章(BS10012個人資訊管理系統、TPIPAS臺灣個人資料保護與管理制度規範及dp.mark 資料隱私保護標章、ISO29100個人隱私保護框架規範等),可說明在抽檢(樣)的稽核方法下,組織符合相關管理的規範要求,但並不表示法律責任的免除,或沒有適法的疑慮。例如,將不可公開之個人資料,不慎外傳或上網公告,或因不解法令之規定而非法利用,造成當事人的損害,則非公務機關因故意或過失、公務機關除損害因天災、事變或其他不可抗力所致者外,違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,須負損害賠償責任(個資法第29、28條)。

個資法相關規定是否妥適,是否仍有改進空間,雖值得討論,但該法並非一味的限制個人資料的運用,而是為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用(個資法第1條)。對法條望文生義,自行解釋運作,或消極的不適用,除阻礙組織的運作,亦可能影響當事人之權益。例如,他機關請求調取資料,受請求者一概以保護個資為由加以拒絕等,而不去考量是否符合個資法對於蒐集、處理與利用的相關規範,反而有可能造成當事人或他人的權益損害,也減損例如個資法第16條但書、第20條但書,對於特定目的外利用規定的價值。相對地,若請求者只要附上法條,就一律同意也並非恰當,因為有可能不符合個資法的要求,雖然對於一般組織或許有些難度,建議還是要去進一步審查該法條對於調取行為的適當性與合法性,而不是一律照准或加以拒絕。積極、合理的作法,應當尋求法律專業人士,例如律師的協助,以避免法律的風險。

落實個資保護工作

為了做好個人資料保護的工作,首先要做好個人資料盤點。

個人資料盤點是最基礎,也是最重要的工作,應該下足功夫,但因為過程繁瑣或不明瞭如何盤點,造成有些組織或單位抗拒的心態、無法貫徹,而有個資風險的問題。組織可依需要設計適用的個人資料盤點表或類似功能者;它是一種工具,可以顯示特定目的及保有依據等等的訊息,盤點中可檢視個人資料是否過度蒐集、不當處理或不合法利用,做為管理改進及適法性之遵行。盤點工作越確實,越能讓組織有效掌握個資的運用。

另一個基礎工夫,則是針對個人資料進行風險的衝擊分析與評估。

個資的風險衝擊分析與評估,是一種技術,組織也可依照需求而設計。注意風險的來源,個資的種類,組織的能力,以及法規的要求,對於風險相關數值的建立,都應該列入考量。值得留意之處,依據我國個資法,有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料為特種個資(個資法第6條),一般咸認為風險較高。惟,範圍卻比BS10012:2009第2.1.12條所謂敏感性個人資訊為窄;例如,種族、政治立場、宗教信仰、工會會籍等等,即非我國個資法上的特種個資,因此沒有原則上不得蒐集、處理或利用之問題。個資法第6條原參考1995年歐盟資料保護指令(95/46/EC)、德國聯邦個人資料保護法第1條及奧地利聯邦個人資料保護法等外國立法例而制定,審酌參酌我國國情與民眾認知僅將上述六種特種個資列入(個資法第6條101年10月1日、105年3月15日施行修正條文說明參照)。但今日許多時事案例,多與種族、政治、宗教、工會等有關,組織應適時評估其所帶來之衝擊,規劃制定適切方案。

再來就是建立一套可行、有效且適法的個人資料管理系統制度。

個人資料需要系統方式的管理,無論基於何種規範,例如BS10012個人資訊管理系統,建立這樣的制度有其必要性,理由在於,個人資料的蒐集、處理與利用,僅依賴承辦人員個人的認知、能力與敬業,仍嫌不足而難以承擔整個組織及個資擁有者本人之要求,尤其若不能將正確、適當的法令要求,融入整個組織的運作,除消耗成本、造成錯誤與浪費外,更易陷違法之處境,致使組織運作不良、紛爭不斷,政策難以貫徹、目標難以達成,因此管理制度應用心建立、切實執行,並依循PDCA (Plan, Do, Check, Act)方法,持續改善。

最後是加強科技軟硬設施與技術。

此部份不僅在於提升效率、減少錯誤,更有資訊安全維護的目的。個資法第18條及第27條,分別規定了公務機關及非公務機關應進行個人資料安全維護,個資法細則第12條則提供了公務機關或非公務機關有關的安全維護事項或措施的進一步規定,從適當的技術上及組織上的措施,以防止個資被竊取、竄改、毀損、滅失或洩漏。然而,就現今大量的個人資料無法僅憑人工方式來蒐集、處理及利用,勢必依賴電腦及相關資訊科技的協助,對於相關軟硬體的要求與投入,更顯出其重要性。若能結合ISO27001資訊安全管理系統推動與認證,將更有助於資訊安全維護的提升,促進資訊的機密性confidentiality、完整性integrity與可用性availability (ISO27001:2013條文0.1概述參照),形成完善的個人資料保護,避免組織經營管理危機與法律風險。

總之,建立良好的心態與認知,投入適當資源,尋求專家的協助,落實執行,將科技、管理與法律三大要素做系統化的結合與有效的運作,才能達成個人資料保護之目的。

(本文章及其內容未經作者授權不得使用)