前言
《個人資料保護法》(以下簡稱個資法)自從立法通過,施行細則草案也於去年底公布,預計最遲於101年7月施行。一時之間,國內軟體行業掀起一番關注熱潮,各種產品如雨後春筍般的推出,令人目不暇給!可惜的是,軟體業者或仍專注於政府資源大餅爭奪,或號稱已經組合「天下無敵」的全面解決方案,準備磨刀霍霍,大幹一場!
但是我們真正執行顧問業務的人員實際深入了解之後發現:軟體公司目前主要仍是依循過去的舊思維來設計所謂的解決方案,將其用「想當然耳」的狀況所設計出來的軟體、程式原理,硬套給企業使用,並沒有分別依照個別實際狀況或需求處理,有的廠商甚至是等待客戶提出問題再來想辦法解決。
我認為「個資法」和其他的資安標準或規範,其差異在於「個資法」相對於資安標準或規範具備有強制要求性;而相似之處,在於都告訴我們“該要做甚麼?(What)”卻不會告訴我們“該要怎麼做(How)”,也因此許多的企業會感到徬徨。但這部分,事實上也恰巧給予我們在保護個資時實際執行上的彈性,畢竟保護好個資是制定此法的最終目的。所以不管採用何種方式,只要能保護好個人資料,那就是值得採行的方式,而並未強制要求要選用怎樣的技術或產品,這點提供給企業在面對市場上資訊廠商一廂情願的提出琳瑯滿目所謂『個資法因應解決方案』時參考。
既聯合又分工
我個人淺見以為,企業內的資訊安全工作,其實不能只有資訊部門一個單位承擔!凡是有用到各項軟體的所有部門及人員都應了解,只不過其中必須最熟悉、最懂專業的是資訊部門。以「個資法」為例,業務營銷部門就應控管好業務客戶的資料,人力資源部門則要管理好應徵者、在職、離職的人事資料…等等,另一個重點是,沒有用到資訊系統的書面文件資料管理,也都必須依照「個資法」的規範處理,這是常被忽略到的部分。
因此應該是由資訊部門擔任「因應個資法專案」的負責部門,而凡是持有個人資料的各個部門都應該各自擔任管理責任人,分別就取得相關對象進行法規遵循作業。
也就是說有關個人資料保護管理制度的導入、參加ISO27001:2005主導稽核員訓練、購買機房設備、取得各項認證、驗證…等工作,是屬於資訊部門的重要職責。至於其他相關部門,則因為必須親自主管所經手之資料,重點工作應該是擁有一位個資保護專責人員,進行各項專業工作。例如:個人資訊處理程序之監督,包括隱私權聲明的管理和傳達、訴願處理、與負責風險管理和安全問題的人聯繫、妥善保存相關控制措施證據(如表單紀錄)…等,來證明單位已盡良善管理之(各單位)責任、有定期執行稽核作業,以確保相關管理措施之有效性、協調聯繫個資業務之對口、通報個資安全事件等。
是故公司未來對內是否應設立一個『資訊安全長』的職務,以負責資訊安全等規劃與統籌調度業務呢?「個資法」則要求非公務機關對於保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩露。所以不知是否應由『資訊安全長』兼任此個人資料保護之重責大任,或是另行採取專職權責分配,由各部門管理者擔任各該部門的『資訊安全長』?此議題尚待研究。
人力資源部門新任務
如上所述,依據新法規定,人力資源部門可能在持有個人資料的企業內,擔任資安工作者,故可能因為違反「個資法」規定,致企業內的個人資料遭不法蒐集、處理、利用或其他侵害當事人權利之情事,而當企業負起損害賠償責任之後,若轉而行使內部求償權利,因行為人必須跟進負責賠償責任,人力資源部門的資安擔當人員亦無法倖免。又若是該人資人員有直接違法行為,也可能受到更嚴重的刑事責任。因此人力資源部門相關人員,必須謹慎因應之!(待續)
留言列表
評論園地 (2)
