個人資料保護法的執行細則已經越來越明朗,相關的權限內容、作法與罰則等也會越來越明確,而企業也漸漸地有明確的方向可供依循。但事實上個人資料保護除了要抵禦外部攻擊之外,更重要的是要管理內部資料的流向,掌握敏感資料的存取、使用、移動乃至於刪除,這樣才能夠確保個資的安全無虞。
那該怎麼管理呢?最好的方式當然是嚴格控管資料,所有資料要存取之前都必須通過審核。但是這又跟我們的商業想法大相逕庭—動作越快越能掌握市場,因此就必須採取科技手段或相關規範,以管制所有的資料存取與風險控管間的平衡。
目前已經有多種產品可以防止資料外洩,但事實上光是仰賴技術(產品)是不夠的。在企業裡面要落實個人資料保護,第一道關鍵應該是制定明確且具效力的規範,或是納入現行法律規範,先清楚地定義什麼事情是可以做,什麼事情不該做,同時處以適當的罰則或獎賞,如此才能讓資料使用者或擁有者了解,該怎麼用才是對的,減少誤用的比率。
其次則是提供所有相關人員適當的教育。為什麼個人資料保護會需要員工教育?說來很簡單,因為不先教導員工什麼行為是正確的,什麼行為很容易導致問題發生,甚至先行說明什麼行為會受罰的話,就很容易讓員工為了便宜行事而發生錯誤或疏漏,反而容易產生危機。況且,「不教而殺謂之虐」,提供員工充足的教育訓練與法律嘗試,不但能夠讓員工了解問題可能發生的狀況,甚至還可以讓員工成為眾多資安監督者之一,共同協助公司資訊安全與個人資料保護,讓整體防線更形強固。
最後,就是選擇正確且功能完整的產品,透過產品自動化管制可以避免人員管理上的延遲、疏失或重複性工作,同時能夠掌控資料的使用方式及生命週期管理,讓資料使用的紀錄更加完整。
事實上,最佳的個人資料保護措施不是單方面能夠完成的,必須要從法律、人與科技等三方面同時著手,訂定完整且嚴謹的法律,讓使用者了解規範的含意與內容,同時選擇相搭配的科技產品,就能夠有效杜絕非法使用的情事,同時防範無意間的資料外洩,讓企業中的各項機密資料都能確保安全。