个资法专栏／个资防护的核心：文件保护

文／个资法专家个资法正式上路后，企业开始陆续着手进行相关系统、设备的升级或更新，但往往焦点都放在「数位资安」，却忽略「纸本文件」也跟您的个资资料外泄息息相关！

劳工局考绩册乱丢 个资遭外泄今年初有民众在一处民宅大楼附近，捡到4张高雄市政府劳工局劳动检查处最新年终考绩表格，全体职员姓名、职称、身分证字号、奖惩情况及过去五年考绩分数等资料全被看光光。对此，劳检处表示，是承办人员列印时，未察遭其他人员误拿取。如此严重的疏失，其实都存在企业中成为并成为隐忧。

资安专家翁浩正表示：「在企业面对个资法的同时，「电子档案」的保护固然重要，但应同时重视「纸本文件」。而从归属上来区分，一般企业可以分为「员工的人事资料」，以及「客户和合作厂商的个人资料」两种。在保护上，依法还要注意资料的，有「搜集」、「处理」、「利用」等三阶段过程。「搜集」是指个人资料之取得，「处理」则包括了储存、保管、编辑、复制、检索、删除等作业，至于「利用」则泛指其他一切使用个人资料之行为。以前面所提到的劳工局考绩册外泄案例来说，就是在纸本文件的个资保护上，在保管之过程出现严重漏洞所导致。」

完善「PDCA」 不怕个资外泄PDCA 机制，即规划 (Plan)、执行 (Do)、查核 (Check)、行动及改进 (Action)。实行这四步骤，才能确保在个资的防护上到达一定的水准。PDCA这四步骤可简单浓缩成一套企业专用的SOP:1.规画：制订个资保护政策和设立专门组织、明订个资存取控管程序与方法。2.执行：进行「个资分类盘点」与保护程序、落实「个资保护」宣导与教育训练。3.稽核和改善：加强个资安全监控与检视、提高个资外泄事件反应能力、重新审视与委外厂商的权利和义务以及遵守法规并落实内部稽核机制。

上述SOP中，「个资盘点」与「个资文件保护」为最重要的核心。机关与企业若能在发生个资外泄事件、面对损害赔偿诉讼时，对法官证明自己已经采取了「PDCA」的程序、以及对个资文件已采取恰当的保护措施，也都有效执行，就可以免责。