新個資法上路 企業有3大法律義務, 工商時報, 孫德至律師
2010年4月立法院通過新「個人資料保護法」之修訂,大幅修改過去「電腦處理個人資料保護法」之適用範圍與管制結構。新個資法通過後,創下了我國法制多項空前紀錄,包括長達2年多期間行政院未能指定施行日期,形同暫時「凍結」立法院所通過之法律、之後行政院又排除部分個資法條文(第6條、第54條)適用,並指定其他條文於今(2012)年10月1日起施行,實質上修改立法院的意志。姑且不論行政院有無「違憲」的疑慮,對於這部一開始默默無聞,但後來爭議迭起的個資法,企業準備好了嗎?
最近,許多企業開始詢問:因應新個資法,是不是只要取得當事人書面同意後即可?其實,當事人書面同意只反應了個資法規範的其中一個環節而已。以提綱挈領的角度來理解個資法,個資法至少加諸企業三大法律義務:一、遵循法定蒐集處理利用程序之義務;二、對個人資料維護管理之義務;三、配合主管機關行政檢查之義務。
就遵循法定蒐集處理利用程序之義務而言,新個資法以資料的來源,區分為「資料來自於當事人」及「資料非來自於當事人」兩種。而就個人資料的使用方式而言,又區分為「蒐集」、「處理」及「利用」三階段,分別施以不同程度的管制。如果個人資料直接來自於當事人,原則上應該在「蒐集」階段前便對當事人依法進行告知,且除非有其他例外情況,則原則上應取得當事人書面同意。如果個人資料並非直接來自於當事人,則在「蒐集」階段無法對當事人告知,但在「處理」及「利用」階段前必須進行告知並且取得同意。
個資法施行日(101年10月1日)前所蒐集的個人資料,依新個資法的施行細則,原則上,來自於當事人的個人資料,可以在原本的目的範圍內繼續處理及利用。非來自於當事人的個人資料,則根據個資法第54條之規定,必須在施行日後1年內補行告知。但由於此等「補行告知」的行政作業太過困難,經各界強烈反彈後,行政院目前排除個資法第54條之適用,也就是不用「補行告知」。
其次,就對個人資料維護管理之義務而言,個資法規定,對於個人資料之保存,應該採取「適當之安全措施」,以防止個人資料遭竊取、竄改或其他意外。至於何謂「適當之安全措施」呢?個資法施行細則,以「組織上」及「技術上」兩項標準,來檢驗企業對個人資料保存是否已採取足夠的保護措施。在組織上,企業必須配置適當且專業人員管理個人資料;而在技術上,則應該建立安全設備、防護機制、及紀錄保存等,以防範個人資料外洩之風險。
第三,是企業配合主管機關進行行政檢查之義務。個資法授權中央目的事業主管機關及各縣市政府得進行例行性檢查,且得要求沒入、扣留或複製個人資料。企業或許無法心存僥倖,以為沒有資訊安全意外就可以高枕無憂,因為,即便沒有資訊安全意外事件,主管機關仍有可能藉由例行性行政檢查,查知民間企業資訊安全漏洞,並加強行政管制手段甚至處以裁罰。
針對前述個資法所帶來的新衝擊,企業主可以考慮三個步驟以減低不必要的法律風險。第一,全面性盤點目前資料庫內所存放之個人資料,確認取得來源之合法性、蒐集目的及保存期限。如存有不必要或無價值之個人資料,應考慮移除。第二,建立適當的安全機制及個人資料蒐集、處理及利用之流程,以避免資訊安全上之漏洞。第三,藉由定期之內部訓練制度,強化員工對資訊安全之意識以及危機處理之能力。
新法上路,無論管制者與被管制者都須經歷短暫的適應陣痛期。企業惟有作好充分準備,方有可能將陣痛減到最低,以合法取得之個人資料發揮最大效益。
(本文僅為作者個人意見,不代表事務所立場。)