本月焦點
個資新法倒數計時,個資生命週期不可不知
更新於
個資法最快今年七月即將正式施行,故企業準備的時間只剩下不到五個月,時間相當緊迫,但不少單位都還是保持觀望的態度。日本已實行個資法多年,就日本個資法實施的結果來看,若企業發生一次個資外洩所造成的損失平均約新台幣 2,000 萬 ~ 5,000 萬,對企業單位與公務機關的衝擊實不容小覷!
個資法解決方案須包含政策(Policy)、程序(Procedure)與技術(Technology)三個面向,就實務面來說,現行針對個資法的解決方案均較片段,不僅欠缺導入顧問,即便有少數顧問亦不熟悉相關技術;亦沒有一項產品可完全滿足個資法實施生命週期的需求。
資通電腦與台灣隱私權協會合作,經營個資法實施的生命步驟,協助客戶建立個資法規劃,並進而協助客戶建立一體適用的保護機制,將顧問、程序、技術三者緊密結合,進而達到免責的目的。
生命週期步驟
我們以簡單的「就診」為例,說明個資法實施生命週期六大步驟。
門診階段:就單位或系統進行個資法適法性調查
- 依據行政處罰、刑事處罰、損害賠償、是否具有特定目的、是否有國際傳輸限制及活用個資法達到促進個人資料的合理利用。
- 建立適法性分析。
檢驗階段:建立個人資料檔案清查
- 個人資料檔案清查:清查資料類別包括網頁、資料庫、電子檔案、紙本及備份資料,此部分可藉由個資清查工具將個資找出。
- 建立個資盤點表、實體資料流程圖及功能資料流程圖等。
住院階段
- 擬定個資保護策略:以個人資料最小化為原則,確保防止訴訟成立,並降低損害賠償。
- 隱私權衝擊評鑑:個資數量(儲存筆數/處理筆數/欄位數)、保存期限、系統安全計畫分析、確認個資正確性等。
- 發展個資保護政策與程序:協助制訂「個人資料檔案安全維護規定(計畫)」,建立適當安全維護措施。
- 告知文件:明確告知當事人之事項。
- 確認是否符合個資法「等同書面同意文件」
- 發展認知、訓練及教育訓練計畫。
手術階段:與技術工具整合導入,做到單位可以免責之目標
- 個資法舉證技巧:個資法實行前後之個資舉證要件。
- 符合「書面同意」的要件技巧。
- 如何進行「補行告知」程序。
- 停止蒐集、處理、利用之管制措施。
- 特定隱私保護措施。
- 安全控制措施
復健階段
- 軌跡資料留存規劃
- 舉證資料之責任
- 稽核與可歸責性:包括稽核監控、分析及報告等事項
養生階段
乃個資生命週期最末端,訂定營運持續計畫(CP)。
(資料來源:資深資安顧問 鍾榮翰)