英國個資保護標準BS 10012參考隱私權綱領原則

因應個資法，可以先做的8件事

文/黃彥棻 (記者) 2010-12-28

企業如何因應個資法？臺灣BSI依據PDCA的原則，濃縮了英國個資保護標準BS 10012，提出8項企業可以先進行的作法

重 點 ● 英國個資保護標準BS 10012參考隱私權綱領原則 ● BS 10012按照PDCA步驟，制訂個資防護最佳實務 ● 臺灣BSI建議個資保護可先做的8項作法 資安驗證公司BSI日前在舉行的年會中，將英國個人資料保護標準BS 10012，根據P（規畫）D（執行）C（稽核）A（改善）的概念，濃縮成8項可實作的摘要作法。臺灣BSI副總經理蒲樹盛表示，BS 10012的個資保護標準和臺灣一樣，都是參考OECD和APCE的隱私權保護綱領及原則，不僅是個資防護最佳實務，也可以作為企業著手部署個資保護推動方案與作法的入門參考。「做完這8點不代表就完成個資保護，但至少可以作為企業開始著手個資保護的起點。」他說。 由於新版個資法對各行各業都是一體適用，蒲樹盛表示，企業因應之道首先就必須要建立一套個資管理制度，因為企業必須盡到善良管理人之責，所以，他建議，企業可以先從遵循行業的規範做起，然後再擴及到國家的標準，更進一步則可以採用各國共通遵守的國際準則，此時企業可以先依BS 10012的作法部署，待施行細則年底或明年初公布確定後，再做細部調整。 但蒲樹盛也強調，每一個企業擁有的個資數量不同，公司規模不同，建議企業若不知從何開始進行個資保護，可從下列8項實作建議先著手。但他也強調，並不是將這8個實作做完就表示已經完成個資保護，因為個資保護是一個持續不斷的改善動作，8點實作只是協助企業開始個資保護的第一步，只要能夠有一個初步的個資保護架構，未來更多的細節作法，都可以在這樣的架構上繼續延伸發展。 作法 1 制訂個資保護政策和設立專門組織 展現企業保護個資的作法，第一步就是，制訂個資保護政策並設立專人組織以負責相關的個資保護事宜。根據新版個資法第18條和第27條規定，公務機關與非公務機關都應該指定專人辦理個資安全維護等相關事項。蒲樹盛表示，企業因應新版個資法對於個資的蒐集、處理和利用等，首先便是要制訂全公司的個資保護政策，並成立個資管理小組。 個資保護政策的制訂必須明確訂出個資使用的範圍，蒲樹盛舉例，員工手冊裡面都會有員工個資資料的使用說明，為了因應新版個資法出爐，「公司在員工手冊上說明的個資使用的特定目的，盡可能符合公司的營業項目，比較不會造成兩者的衝突。」他說。 個資管理小組的成員角色與工作執掌，則分成「個資保護高階管理代表」、「個資處理專責單位」和「個資聯絡窗口」等3類。蒲樹盛說，個資保護高階管理代表必須是公司營運管理的高階主管，負擔起公司個資外洩後所必須負起的連帶責罰，除了會被公布外洩個資的公司和負責人名稱，若未負起督導管理之責，還會遭到和公司一樣額度的行政罰鍰和負起相關刑責。 至於個資聯絡窗口，蒲樹盛說，主要是提供外界一個反應意見、主張個人個資保護權力的聯繫窗口，依照行業別和公司組織執掌不同，可以是客服部門、公關部門甚至是IT部門等。而個資處理專責單位，他認為，只要是涉及個資的蒐集、處理和利用的部門，都應該納入這個部門中。 作法 2 進行個資分類盤點與保護程序 蒲樹盛表示，制訂政策、成立組織的目的就是為了進行個資盤點、分類並做到個資保護，「這也是最花時間的步驟」他說。 企業首先應該定義出內部擁有哪些重要的個資檔案，而這些個資流經哪些部門，各個部門又負起個資蒐集、處理和利用的哪一種責任。蒲樹盛指出，一旦企業內的個資可以依照資訊流進行完整盤點後，企業可以清楚得知，哪一個部門涉及的個資蒐集、處理或利用的比例最高。 如果是負責蒐集個資的單位，就必須符合新版個資法的規範，事先告知使用者的使用特定目的為何，並取得其書面同意；如果是處理個資的部門，則必須做到對個資進行安全防護。蒲樹盛表示，在個資處理上，ISO 27001可以提供相關的參考規範。 他也提醒，因為個資處理不只有IT部門涉入，還會包含其他部門。但是臺灣導入ISO 27001多數都是IT部門負責導入，企業若要採用ISO 27001作為個資保護，就必須將ISO 27001資安標準的適用範圍，同步擴大到適用全公司才行。 此時，是否會造成其他部門的反彈，或者是直接將個資保護的責任推給IT部門負責，都不是採用ISO 27001規範作為保護個資時所樂見的現象。他表示，新版個資法強調的利用要件便是「不可以逾越特定目的的利用」。 作法 3 明訂個資存取控管程序與方法 蒲樹盛表示，企業對於所擁有的個資，都必須負起安全維護的責任，企業如果防護措施不足，就必須進一步加強，不論是身份認證的帳號、密碼、晶片卡或者是一次性密碼（OTP）等，或者是網路、作業系統或應用程式的存取控管，企業都必須明訂詳細的控管程序，更重要的是，如果企業個資一旦外洩，所有的控管環節都必須做到「事後舉證」的自保作法。 作法 4 落實個資保護宣導與教育訓練 個資保護的觀念最重要的關鍵在於，必須要能夠落實到每一個員工身上，蒲樹盛表示，這就必須不停地、重複地對員工宣導個資保護的觀念，並一再地進行教育訓練，讓員工清楚知道公司對於個資保護的相關規定，教育員工意識到個資保護的重要性，並訓練相關的技能與資格，更重要的是，「這樣的宣導和教育訓練絕非一蹴可及，必須一再重複，直到內化成員工的工作流程和反射動作才有幫助。」他說。 作法 5 加強個資安全監控與檢視 由於新版個資法有「舉證責任倒置」的特性，也就是說，個資受損害者一旦提出訴訟，擁有個資的企業就必須證明已經負起個資安全維護之責。因此，蒲樹盛說，企業對於個資的蒐集、處理和利用的每一個環節，都必須能夠監控並落實舉證。 舉例而言，重要IT系統的Log（登錄檔）是否都不可竄改並妥善保存？對於紙本資料的銷毀，是否有做照片、錄影或其他方式的記錄留存？使用者端的電腦監控和防護措施是否完善？其他違反資安政策的異常舉動，是否都留有證據可以證明異常呢？這都是企業要落實的環節。 作法 6 提高個資外洩事件反應能力 依照新版個資法第12條規定，企業擁有的個資一旦遭到外洩，都必須查明後告知當事人，但這樣的告知行為，對於多數臺灣企業而言，幾乎是自殺舉動。 蒲樹盛提醒，企業對於個資外洩事件的反應能力，奠基在有效的內部通報流程，法律規定個資一旦外洩企業必須告知當事人，企業第一時間或許不願意承認，但企業必須考慮的是，如果發生個資外洩事宜，若沒有任何主管檢調機關和當事人的通報記錄，一旦相關消息是經由媒體率先報導，事後究責，企業沒有通報將負擔更大的責任和罰則。 作法 7 重新審視與委外廠商的權利和義務 蒲樹盛指出，按照新版個資法第4條的規範，委外廠商外洩個資視同委託機關外洩個資，委託機關必須負起外洩個資的全部責任，除非，委託機關有證據能夠證明已經善盡監督與管理之責，才可能減輕責任。委託機關必須清楚體認到，工作內容可以委外，但是責任不能委外，若委外廠商個資外洩，等同於委託機關外洩個資。 因此，他建議，委託單位和委外廠商簽訂委外合約時，除了合約中規範雙方清楚的權利義務，以及簽訂服務水準協定（SLA）外，委託機關對於委外廠商的監督管理責任也不可少，不論是各種監督管理機制的提供，例如遠端遙控、資訊處理程序，或者是對委外廠商的教育訓練和監控等，「一紙合約不代表有效監督，必須要有實際的作為和證明才算。」他說。 作法 8 遵守法規並落實內稽機制 最後，BSI建議的8項個資保護作法，還包括了員工和企業營運都必須遵守的相關法令規範，蒲樹盛表示，定期和不定期的內部稽核也是確認企業是否落實個資保護的重要關鍵，所有內稽的查核記錄都必須妥善保存，才能夠證明企業的確有落實內部稽核制度以符合法令規範。文⊙黃彥棻