個人資料保護法上路 企業人資當心了!

 前些日子,某社會事件發生後,網路上流傳對受害者身分無端洩漏、散播不雅照片、提供個人隱私資料給媒體的行為,這對預計將在今年10月1日上路的「個人資料保護法」(簡稱個資法),顯得有些無奈與諷刺!

 對照於現行的「電腦處理個人資料保護法」,新版的個資法更符合歐盟與APEC揭示的8大原則,使我國的個人資料保護機制與國際接軌。其立法精神並非禁止企業利用個人資料來執行公務與處理業務,而是規定更周延的程序,以給予個人隱私更大的尊重與保護。

 依據個資法,個人可以有權力決定自己的個資是否要提供,同時也可以瞭解自己的個人資料是如何被蒐集、使用、處理、傳輸等狀況。所以建議每個人未來都應該注意,對於已經在別人手上的個資、或現在正要交出去的個資,要謹慎把關!

絕非一套資安軟體就能解決

 個資法對企業來說,是一場企業經營必備的知識學習,也是人力資源工作者必須正視的新挑戰。在現今通訊科技發達的時代,資料傳輸如此迅速,一旦個人資料外洩或遭竊取,不但該資料當事人的隱私在短時間內恐即遭侵害,對企業來說也是危機管理的新議題,絕不是一套資安軟體就可以解決全部問題,更何況新法實施,陣痛期至少一年半載,要調整修正的地方肯定很多,企業不可不慎!

 我認為,資訊安全工作,不能只有資訊部門一個單位承擔,凡是有用到各項軟體的所有部門及人員都應瞭解,只不過,其中必須最熟悉、最懂專業的仍該是資訊部門。個資法上路後,業務營銷部門就應控管好業務客戶的資料,人力資源部門則要管理好應徵者、在職、離職的人事資料;甚至沒有用到資訊系統的書面文件資料管理,也都必須依照個資法的規範處理,這是常被忽略掉的部分。

企業各部門都責無旁貸

 如果企業經營型態是屬於B2B(企業對企業)則一般部門受影響較小,但B2C(企業對個人客戶)則業務部門首當其衝。可是不論任何企業,都有管理員工個人資料的單位,因此,人力資源部門將是必須深入瞭解個資法的重點單位。

 當然,個人資料保護管理制度的導入、參加ISO27001:2005主導稽核員訓練、購買機房設備、取得各項認證等工作,是屬於資訊部門的職責。但其他部門也責無旁貸,對於必須親自主管經手的資料,至少應該有1位個資保護專責人員,進行相關工作。例如個人資訊處理程序之監督,包括隱私權聲明的管理和傳達、訴願處理、與負責風險管理和安全的人聯繫、妥善保存相關控制措施證據(如表單紀錄)等,以證明已盡良善管理之責任。另外,還包括定期執行稽核作業,以確保相關管理措施之有效性、通報個資安全事件等。

人資應立即盤點員工相關文件
行動版 電腦版