个资法来临!律师给企业的「生存法则」:完善PDCA免责
财经中心/综合报导
个资法来势汹汹,许多民众称之为「马政府最有感的政策」;但是网路上都是教民众「如何利用个资法告企业」,很少人告诉企业主该怎么办。国际验证公司BSI日前提出「PDCA」个资保护标准,只要企业有确实做到标准的文件保护,面对法官时就能证明企业的清白!
▲因为个资法,林益世起诉书成「天书」。
2012年11月,远东商银离职员工在影印时不慎将「客户的申请书」等文件遗留在资源回收厂,被台南民众捡到;由于资料包括申请信用卡所需的姓名、身分证字号、地址、经济状况,甚至连印鉴等机密资料都有,造成影响范围之内的民众人心惶惶。适逢2012年10月1日「个资法」正式上路,远东商银成为首间违法的银行机关。
虽然银行方面表示,这件事纯属某位离职员工的不法行为;但依照个资法的规定,远东商银显然对于含有个资的文件,在管理上有重大疏失。当事人若透过团体诉讼,可向银行求偿两亿元,甚至更高。
那么,企业面对个资法该如何面对呢?在个人资料保护上,应该同步重视「纸本」文件和「电子档案」两种;从归属上来区分,则可以分为「员工的人事资料」,以及「客户和合作厂商的个人资料」两种。在保护上,依法要注意资料的部分,有「搜集」、「处理」、「利用」等三阶段过程。
「搜集」是指个人资料之取得,「处理」则包括了储存、保管、编辑、复制、检索、删除等作业,至于「利用」则泛指其他一切使用个人资料之行为。以前面所提到的远东商银的案例来说,就是在纸本文件的个资保护上,在「保管」之过程出现严重漏洞所导致。
个资防护的SOP:规划、执行、稽核、改善
秉持「预防胜于治疗」的观念,国际验证公司BSI日前将英国个人资料保护标准BS10012,根据「规画」、「执行」、「稽核」、「改善」四项建立出品质管理循环,并依据四字英文字首,简称为PDCA。而这个PDCA,就是个资法及施行细则中所谓的「适当安全措施」在订立时所必须参考的标准。
但是,光说「PDCA」实在太过笼统;组织面对个资防护,台湾BSI总经理蒲树盛特地将它浓缩成八项可实作的摘要作法,可以作为企业部署个资保护的入门参考。
「规画」:分为制订个资保护政策和设立专门组织、明订个资存取控管程序与方法两项。
「执行」:涵盖了进行个资分类盘点与保护程序、落实个资保护宣导与教育训练。
「稽核」和「改善」:包括了加强个资安全监控与检视、提高个资外泄事件反应能力、重新审视与委外厂商的权利和义务以及遵守法规并落实内部稽核机制等四项。
个资防护的核心:「文件保护」
在上述八项中,「个资盘点」以及「个资文件的保护」是最重要的核心。企业首先应该确认,内部到底拥有哪些个资文件,并且采取有效的措施对于那些文件进行保护,以降低处理及利用时个资外泄的风险。
不过,显然从政府到民间组织,对于个资保护的规画都未完全落实,更别说后续的执行。2012年屏东县政府计划在高屏溪旁兴建火葬场,12月初在行政院环保署的网站上所公布的环评报告书,竟然「违法」公布出大量民众个人资料!
被屏东县政府公布的个资内容,包括投书县长信箱的民众,以及向屏东县政府陈情的陈情人所留下来的「姓名、身分证字号、电话、地址」等个人资料,一切都被看光光。这起个资外泄事件,凸显出屏东县政府完全没有执行个资保护措施,此举也让民众心生恐惧,担心自己发表的言论会为自己带来困扰,明显损及民众权益。此一案例,再度反映个资防护被忽略的严重程度。
▲银行若不认真面对,会遭遇麻烦!
在传统的观念中,公司违法,老板首当其冲,与员工无关;但是个资法正式上路后,即使是员工的「个人行为」,只要造成个资外泄,就必须让整个机关来负责赔偿,以每人每次泄露500元至20,000元不等,最高甚至可达2亿元之谱;除非机关能「证明自己无过失」,才能免除如此沈重的赔偿责任。而「个资管理人」也将连带处以与公司同样金额之「行政罚锾」(见下方解释)。
怎样才叫做无过失?简单说,机关若能在发生个资外泄事件、面对损害赔偿诉讼时,对法官证明自己已经采取了「PDCA」的程序、对个资文件的保护措施也都能有效执行,就可以免责。不过由于个资法上路仅仅三个月,据访查,大多数的政府机关与公司企业依旧无感。但是,无感的风险,远比大家想像中的大。
什么是个资法的「行政罚锾」呢?身为政府或民间机关的个资管理人,一旦个资外流,除了公司将受到「2万至50万」不等的罚锾处分外,个资管理人将连带处以同样金额之罚锾。以「戒慎恐惧」来形容被机关指定之个资管理人,一点也不为过。
▲因为个资法,榜单出现一堆圈圈。
至于个资法的刑责归属也订定得相当清楚,在个资的产生中,「处理」对公司内部经手员工薪资、劳健保及劳退、人事档案等个人资料的同仁来讲,麻烦最大。一旦违规检索、复制、删除、输出、传送,将由实际上的行为人,还将处二年以下有期徒刑。因此公司员工的个资处理,得要强化安全控管机制,并确实追踪资料流向。
在台湾资安界,推动文件保护不遗余力的优硕科技总经理黄祖仁表示,虽然在任何机关里,处理到相当数量的个资都是难免之事,但只要能订立并执行「适当安全措施」,就可以一方面确保个资安全、二方面免除机关与个资管理人的法律责任,否则只怕后患无穷。
黄祖仁还进一步指出,企业要执行个资文件的保护,方法很多,有的在手续上相当麻烦,有的则相对简便。把全部含个资的纸本文件都锁进机关负责人的保险箱,员工有需要利用时还要个别写签呈申请,虽然也是一种保护措施,但显然在实务上不可行。
因此,市面上已经有相当多的资安厂商推出各种不同的个资文件保护方案,各机关可以锁定对自己性价比、C/P值最高的来采用。他在最后还提醒大家注意的是,个资法施行细则第12条中,要求把个资文件的使用纪录、轨迹资料进行保存。这个步骤,首先可以确保所有的个资控管环节之落实,其次也能做到个资文件流向的事后举证,在万一意外发生时得以进行自保。