個資保護法遵要求逐步升級:企業如何應對新挑戰
一、個人資料保護法律遵循
個資保護意識崛起,不僅是政府機關或大型企業須留意,一般企業若忽視個資保護,也可能將面臨高額罰款與法律訴訟風險。
企業除了應該要遵循個人資料保護法(下稱「個資法」)第27條第1項及其施行細則第12條,採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏之外,更需建立完整的個資保護管理機制。
2023年以來,各中央主管機關依據個資法第27條第3項規定已陸續推出各產業的個人資料檔案安全維護計畫或業務終止後個人資料處理方法,要求各產業業者必須遵守。例如製造業有《製造業及技術服務業個人資料檔案安全維護管理辦法》、零售業有《綜合商品零售業個人資料檔案安全維護管理辦法》、數位產業則有《數位經濟相關產業個人資料檔案安全維護管理辦法》等,目前已有50多部辦法。
根據這些管理辦法,企業需要遵守法規要求,從風險評估、內部管理到事故應變,全面加強個資保護措施。未能遵守規範的企業,情節重大者則可能面臨最高達新台幣1500萬的罰款(個人資料保護法第48條第3項),還可能因個資洩漏事件引發消費者訴訟,造成巨大的賠償壓力,因此個資保護已成為企業風險管理中不可忽視的問題。
隨著數位經濟的飛速發展,越來越多的企業依賴電子商務和網路平台進行營運,大量蒐集消費者的個人資料。各種業務操作不僅涉及顧客基本資訊,更可能涉及敏感的財務資料和消費習慣。因此,本文以下便以《數位經濟相關產業個人資料檔案安全維護管理辦法》(以下簡稱「數位經濟安維辦法」)為中心進行例示說明,而其他產業的安維辦法則大同小異,再另外個別比較細節調整即可。
Personal Data Protection
二、數位經濟相關產業個人資料檔案安全維護管理辦法簡介
2023年10月12日,數位發展部正式頒布數位經濟安維辦法,該辦法針對數位經濟相關產業業者提供詳細的安全維護標準和規範,確保業者在蒐集、處理、利用個人資料時能夠妥善保護,防止資料外洩或遭到未經授權的存取。此辦法適用的行業包括電子購物、軟體出版、資料處理、主機代管、網站代管以及電腦程式設計、諮詢與相關服務業等。
適用行業別,數位經濟相關產業個人資料檔案安全維護管理辦法附表一
根據此法規,業者應在法規生效後的三個月內完成個人資料檔案安全維護計畫的制定。然而,至今已經超過法規規定的準備期,這意味著所有符合條件的業者如今應已全面實施該安全維護計畫,並且開始進行持續的風險評估和管理。
你的企業,準備好了嗎?
三、個資安全維護的核心要點
在數位經濟相關產業中,業者面對的個資安全風險極其多樣化,從資料的蒐集到儲存的每個環節,都必須採取嚴格的保護措施。對此,數位經濟安維辦法明確規定了多個核心維護要點,業者需確實遵守,以防止個資外洩或不當利用。
這些核心要點是業者在保護個資過程中的基本要求,任何疏忽或不合規的操作都可能導致重大事故,並給業者帶來嚴重損失。隨著數位經濟的不斷發展,業者必須持續檢討並強化這些核心要點,以應對不斷變化的風險環境。
1. PDCA:定期風險評估與管理機制
風險是動態的,因此數位經濟安維辦法引入PDCA(Plan-Do-Check-Act)的管理方法,要求業者必須定期進行個人資料的風險評估,評估範圍應涵蓋所有蒐集到的個資,一般來說包括但不限於消費者資料、員工資料以及受委託處理的第三方資料。
風險評估後,業者需根據風險的高低制定相應的處理對策,以降低潛在的資料外洩風險(第7條),並進行各層面的執行與落實,詳細如以下說明。執行過程中,業者需對所有個資的蒐集、處理、利用、銷毀、移除進行紀錄,並保存至少五年(第16條)。
接著,業者應該定期檢查安全維護計畫的執行狀況,製作報告並檢討改善(第15條)。如果有未落實或是有各種技術、業務、法規的變動因素,需定期調整(第17條)。
PDCA
2. 內部管理程序
每個業者必須制定完善的內部管理程序,明確界定個資的蒐集、處理和利用的具體操作流程。
在人員層面,內部管理程序應該確保只有授權人員可以存取相關資料,且業者需針對所有負責個資管理的員工進行定期培訓,讓員工理解並掌握個資保護的基本法規與內部規範。並要求簽署保密契約,強化其對於保密義務的責任感(第12、13條)
在運作層面,業者應確保所有資料的處理都應符合法規規定,例如遵照合法目的之蒐集、處理及使用,或是配合個資當事人行使權利。此外,業者還必須定期清查所有持有的個資,確保資料使用目的不復存在時刪除、停止處理或利用(第9條)。
3. 安全管理措施
根據第11條的規定,業者需要建立完整的安全管理措施,包括了多項針對個資保護的具體操作要求。以下是第11條中安全管理措施的例示:
Security measures
1. 加密技術:對於個資的蒐集、傳輸、儲存等過程,業者應採用加密技術,以確保資料在未經授權情況下無法被讀取或存取。
2. 備份作業:如有必要,資料需定期備份,備份副本應安全儲存,防止因意外事故如系統故障、自然災害等導致資料永久遺失。
3. 安全傳輸機制:對於需要跨系統或跨境傳輸的個資,應採用安全的傳輸協議與技術,如SSL/TLS,確保資料在傳輸過程中的保密性與完整性。
4. 防止外部入侵措施:業者在使用資通系統直接或間接蒐集、處理或利用個人資料時,需建置防火牆、電子郵件過濾機制或其他入侵偵測設備,以防止外部網路入侵,並定期更新防護設施。
5. 異常存取監控與演練:若資通系統中存有個人資料,應設定監控異常存取資料行為的機制,並定期進行應變演練,確保在事件發生時能迅速回應。
6. 系統安全檢測:確認所有存有個資的電腦、相關設備或系統具備必要的安全性,定期檢測系統漏洞、掃描病毒,並及時應對漏洞可能帶來的風險。
7. 隱碼機制:根據使用情境,業者應評估並採行個資隱碼機制,對個人資料進行適當且一致性的遮蔽,以降低資訊洩漏風險。
此外,業者需再配合第14條,對於儲存資料的設備、技術、保管人員、保存環境進行適當的佈置與管理。
這些措施構建多層次的資料安全保護,讓業者在資料存取、處理、傳輸和保存等各環節中,能夠有效降低個資洩漏風險,並符合法規要求。
4. 事故預防與應變機制
業者需設立一套事故預防與應變機制,防止或降低個資外洩的風險。當發生資料洩漏等安全事故時,必須在第一時間啟動應變程序,採取補救措施控制風險。適時通知受影響的個資當事人,並於事後進行檢討矯正預防措施。危及正常營運或是大量當事人權益時,業者需在「知悉」事故的72小時內通報主管機關(第8條)。
5. 受託者責任與委託者監督
當業者將個資處理工作委託給第三方時,受託者必須依照數位經濟安維辦法的要求履行與業者相同的個資保護義務,並確保其技術系統和安全措施符合法規要求(第19條第1項)。同時,業者也有責任對受託者的個資處理行為進行適當的監督,且雙方應在合約中明確約定與個資保護相關的條款,確保落實法遵合規(第19條第2項)。
因此,受託者是資訊服務業者的話,除了自身本即遵守的資訊服務業的規範,還需要遵守委託者的產業規範,例如委託者如果是商品零售業,委託資訊服務業者外包特定工作,則受託者需要同時遵守數位經濟安維辦法以及《綜合商品零售業個人資料檔案安全維護管理辦法》。
6. 國際傳輸與使用限制
由於數位經濟行業中跨境資料傳輸頻繁,法規對於個資的國際傳輸進行了嚴格限制。當業者將個資傳輸至境外時,必須確認有無受到個資法第21條的限制,並且需告知個資當事人其資料將傳輸到何處,採取額外的安全措施來確保資料不會在傳輸過程中洩露(第10條)。
四、分級管理措施
固然,不論業者規模大小,皆需遵守個資安全的基本要求,例如風險評估、事故通報等。然而,不同規模大小或是型態的企業自然有不同程度的個資保護風險,因此安維辦法設置了分級管理措施,根據業者持有的個資筆數及其資本額來調整管理和檢查頻率。讓每個業者都能根據其實際情況靈活配置資源,確保無論企業大小,皆能依據其實際運作規模執行適當的個資保護措施,也確保了基本的個資保護要求得到執行。
1. 規模較大業者的強化管理
對於資本額達到新台幣1000萬元以上或持有5000筆以上個資的業者,數位經濟安維辦法要求其加強部分安全維護措施的執行頻率,特別是在風險評估、資料清查、及資料安全檢查方面。這些業者每12個月至少須執行一次實施及檢討改善,以確保持續的合規性與資料安全(第18條)。
至於個人資料筆數的計算方式,則是以每日每一自然人資料的正本數量進行計算。
2. 規模較小業者的管理要求
相對於規模較大的業者,規模較小的業者需根據其資料的蒐集與處理量進行適度的管理。法規規定這些業者雖然不必每12個月進行完整的資料稽核,但仍需隨時保持資料的安全性,並在發現風險時即時採取措施,遵守基礎的資料清查、存取權限管理與事故應變機制。
五、罰則規範
為了確保業者能夠嚴格遵守數位經濟安維辦法的要求,法規對於未採取適當個資保護措施、導致資料外洩的業者設立了嚴格的罰則。若業者未依要求制定個資安全維護計畫,可能會面臨以下懲處:
1. 罰款範圍
首次違反法規的業者將被立即處以罰款並限期改正,罰款金額自新台幣2萬元至200萬元不等,具體數額依據違規行為的嚴重程度而定。若業者在限期內未能完成改正,則罰款將加重至15萬至1500萬元按次處罰(個資法第48條第2項)。
2. 重大違規加重處罰與連續處罰
如果違規行為情節嚴重,例如導致大規模的個資洩漏或對消費者造成重大損害,主管機關將直接處以15萬至1500萬元的高額罰款並限期改正。若業者未能在限期內改正重大違規行為,主管機關可按次處罰,罰款將在原罰款基礎上持續累計。(個資法第48條第3項)。
3. 代表人責任
此外,個資法還明確規定,除非能證明已盡到防止義務,企業的代表人將與公司併同承擔相同金額的罰款,這進一步強調了管理層在個資保護中的關鍵責任(個資法第50條)。
Penalty
4. 其他可能的法律責任
除了行政處罰外,若因業者疏忽導致個資洩漏,消費者或其他個資當事人自然可以依法對業者提出民事損害賠償訴訟。此類訴訟可能給業者帶來更高的經濟損失和聲譽損害,而這些未能遵守數位經濟安維辦法的事實,將可能成為敗訴的關鍵因素。
六、落實數位經濟安維辦法
數位經濟安維辦法的頒布,為相關業者提供了清晰的法規指引,要求業者從風險評估、內部管理、事故應變、國際傳輸、外包業務等,建立一套完整的個資保護機制,確保個資保護的每一個環節,從資料的蒐集、處理到儲存的全流程都得到妥善管理。
對於如何落實安維辦法之要求,本文整理三點建議如下:
1. 參考主管機關提出的安維辦法範本
企業可參考主管機關發布的個資安全維護辦法範本,作為建立內部資料保護體系的基礎,並進而強化技術措施與定期稽核。這些範本能夠提供企業標準化的操作指引,協助業者有效落實合規要求,並根據企業規模及行業特性進行調整,以建立適合自身的內部制度。且透過定期進行稽核與技術檢查,確保其個資保護措施與時俱進,包括檢查系統漏洞、強化資料加密技術及防範網路入侵等,以因應不斷演變的網路安全威脅。
數位發展部數位產業署,有關電商業者落實數位經濟相關產業個人資料檔案安全維護管理辦法參考指引
財團法人資訊工業策進會,資訊服務業者個資相關法遵資源
公平交易委員會,個人資料安全維護計畫及業務終止後個人資料處理方法 (範本)
經濟部產業發展署,製造業及技術服務業個人資料檔案安全維護計畫管理辦法」導入手冊
2. 主動建立個資保護文化
企業應該在其內部建立起個資保護的文化,確保所有員工都了解個資保護的重要性並能夠遵循公司制定的個資管理政策。將法遵意識落實到各層級員工,並留意高級主管更應該以身作則,強化企業整體
3. 加強與外部合作夥伴的溝通與監控
另一方面,對外委託外部公司處理個資時,應選擇有信譽的合作夥伴,並在合約中詳細列明個資保護責任。此外,企業還應定期對合作夥伴進行合規稽核,確保其遵守法規要求,以降低風險。
七、結論
個資保護已經成為各行業營運過程中的重要一環,每個商業環節都不可避免地涉及大量的個人資料,而如何妥善地蒐集、處理及儲存這些資料,將直接影響企業的法遵合規。
對於業者來說,遵守這些法規是企業運營中必不可少的責任。若企業忽視個資保護,不僅可能面臨高額的罰款,還會嚴重損害其商譽,甚至引發訴訟風險。因此,企業應該將個資保護視為長期的戰略目標,並持續檢討與優化其內部的個資管理策略。而且隨著法規的逐漸深入,個資保護的要求只會更加嚴格,企業應及早規劃與執行,以確保長期的合規與穩健發展。
在法遵層面以外,保護個人資料的安全性更是企業對於消費者或客戶責無旁貸的責任。因此,透過積極落實法遵規範,企業除了能消除法遵風險,更能獲得正面效益,獲取消費者和客戶信任、提升其市場競爭力,進而促進其長遠發展。
你可能也想看
