簡述中小企業如何因應新版個資法 (下)－推薦美食、電影心得等的【子亥】分站

（下）篇綱要：

Part 3－中小企業個資處理面面觀

八、中小企業應有的三大基本個資處理概念
九、事業體個資保護制度標章
十、　供參考的11項安全措施
十一、加強個資安全的處理流程
十二、其他注意事項
十三、講師結語
十四、補充連結

Part1與Part2請參照簡述中小企業如何因應新版個資法 (上)

PART3：中小企業個資處理面面觀

八、中小企業應有的三大基本個資處理概念

1.「有做不一定沒事，但沒做一定有事」

　　個資法第27條：「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」。故公司企業具有「主動防護」個資安全之義務。

　　但根據施行細則第12條－「以與所欲達成之個人資料保護目的間，具有適當比例為原則」。意即公司企業可根據自身規模大小與可能引起的損害，決定該投入資源與心力的程度。

EX1：路邊麵店的老闆會擁有叫貨廠商或一些熟客的個資，但就算發生個資洩漏，會造成的損害不大。故老闆可能只需要將相關個資記錄上鎖即可。

EX2：像跨國國際銀行這種握有極龐大數量的重要個資，一旦發生洩漏或遭駭事件，造成的損害也會極大。相對地也應該主動施行更多的資安防護作為，如導入下一段的國際認證標章等等。

2.「軌跡與證據留存」

　　個資法第29條：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」

　　故公司企業須負舉證責任，證明自身已善盡防護義務。

　　例如：內部教育訓練教材、個資宣導課程簽到表、聘請專業顧問之費用收據、個資安全討論會議之記錄等等、個資蒐集、處理或利用同意書等等。

　　只要是為了個資安全所投入的時間、人力與金錢，皆可將其紀錄保留下來。作為自身非故意且無過失的舉證。

　　(但簡律師說，「無過失(零過失）」其實非常難證明。所以就是”有做不一定沒事”。)

3.「減少所需保存之個人資料」

　　隨著時間推移，須保存之個人資料必定會隨之增加，個資糾紛之風險自然也隨之提升。故最小化必要蒐集的個人資料，便是一可行的減少個資維護成本方式。

　　EX:講師舉例銀行將逐漸取消信用卡申請單上的「聯絡人」欄位(此為間接取得個資範疇)。因為聯絡人並無償債責任。不如取消蒐集，即可免去日後可能衍生之相關糾紛。

九、事業體個資保護制度標章

1.     BSI10012：英國BSI所辦認證
2.     ISO27001：國際ISO所辦認證
3.     TSP：德國TUViT所辦認證

(以上為國際資安認證標章，總費用基本上是百萬以上起跳，較適合國際大型企業。)

4. TPIPAS：經濟部商業司委託資策會所辦認證，為免費，但只限定電子商務公司。

※取得資安認證標章不代表發生糾紛時就一定免負賠償責任※

十、供參考的11項維護個資安全措施：

個資法施行細則第12條，明確列出維護個資安全的11項措施：
(意即毫無方向的中小企業可先從這些面向著手去做自我檢視、評估與改進)

1.     配置管理之人員及相當資源。
2.     界定個人資料之範圍。
3.     個人資料之風險評估及管理機制。
4.     事故之預防、通報及應變機制。
5.     個人資料蒐集、處理及利用之內部管理程序。
6.     資料安全管理及人員管理。
7.     認知宣導及教育訓練。
8.     設備安全管理。
9.     資料安全稽核機制。
10.   使用紀錄、軌跡資料及證據保存。
11. 個人資料安全維護之整體持續改善。

參考文章：因應個資法上路，11項企業應該要做的事

(內含有資策會科法所科技應用法制中心組長郭戎晉針對此11項措施所提出的要點說明。)

十一、加強個資安全的處理流程

★個資盤點－

1. 先了解公司內各項業務，並嘗試畫出如下的作業流程圖（作業流）。

(圖片來源：安資捷)

2. 再依作業流中，找出個流程間產生的個資。

3. 將上述個資之流動紀錄後，分為蒐集、處理、利用及”刪除”四種類別，憑以畫出個資流程圖(個資流)。以期確實掌握各種個資之流向與儲存位置。

參考文章：個資盤點案例-鼎新電腦

★法令盤點－

目的：了解應遵循之各種外規、檢視內規有無欠缺或應修正部分、釐清管理程序應遵循方向等。

應列入搜尋範圍之法規：

公司業務所涉及之法規、個資法規、相關目的事業主管機關所頒行政命令等。

★風險分析與控管

風險認識：企業中之各資風險分布於作業流之節點。

風險分析之進行方法：

1. 將個資作業流程圖與個資盤點清冊進行比對
2. 將識別出之風險進行分析：

危險種類－係違反外規抑或內規。

危險情況－如何造成個資風險，例如特定目的外之利用，或未得客戶書面同意等。

弱點－內部作業程序有何弱點，為何會造成此個資風險

威脅－此個資風險發生將導致何種結果。

★手冊制定

參考項目－

識別法令與其他相關規範；識別事業所保有之個人資料；事業蒐集、處理或利用個人資料之事宜；個人資料相關風險分析及管控措施；事故緊急應變：事業各部門以及層級所擁有個人資料管理權限與責任；當事人權利之行使；維持個人資料正確性；安全管理措施；事業人員之監督與獎懲；委託蒐集、處理或利用個人資料之監督；教育訓練；個人資料管理制度之文件與紀錄管理；當事人申訴及諮詢；內部評量；矯正及預防措施；最高管理階層定期檢視。

★內部評量作業：

1. 不定期的有效性測量：

事業應對自身個資保護機制建立量測機制，以測試制度是否有效；測試紀錄應保存，並作為改進依據。

2. 每年的內部評量：

事業每年應進行內部評量，並將結果製作書面，以確保制度持續有效，並應外部檢核；內評作業應由具備個資內評師或各資驗證師資格者進行。

3. 每年的定期檢視：

個資管理代表應每年定期招集相關人員開會，檢視個資管理保護制度，並將檢視結果書面化，報告最高管理階層。

十二、其他注意事項

★ 委託人具監督受委託者之義務－

個資法施行細則第8條，委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。(至少應包含的六項監督事項請見施行細則第8條。)

＝＝＝下面這幾點與蒐集、處理皆相關，紅字表中小企業比較容易遇到之情形＝＝＝

★ 「直接向當事人蒐集」個資時，須明確告知以下事項：

1.     公務機關或非公務機關名稱。
2.     蒐集之目的。
3.     個人資料之類別。
4.     個人資料利用之期間、地區、對象及方式。
5.     當事人依第三條規定得行使之權利及方式。
6.     當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

有下列情形之一者，得免為前項之告知：

1.     依法律規定得免告知。
2.     個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
3.     告知將妨害公務機關執行法定職務。
4.     告知將妨害第三人之重大利益。
5.     當事人明知應告知之內容。

★ 「間接蒐集」當事人之個資時，應於處理、利用前告知上一要點所列之通知事項：

有下列情形之一者，得免為前項之告知：

1.     有前條第二項所列各款情形之一。
2.     當事人自行公開或其他已合法公開之個人資料。
3.     不能向當事人或其法定代理人為告知。
4.     基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。

5. 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

(EX:有受害者爆料，記者根據其提供之個資向第三者查證時可拒絕提供消息來源。)

第一項之告知，得於首次對當事人為利用時併同為之。

★ 非公務機關於蒐集、處理個資時須完成的兩大條件：

A.符合下列情形之一：

1.         法律明文規定
2.         與當事人有契約(EX:聘僱員工、交易)或類似契約(EX:合作洽談)之關係
3.         當事人自行公開或其他以合法公開之個人資料
4.         學術研究機構基於公共利益為統計或學術研究而有必要...(下略)
5.         經當事人書面同意。
6.         與公共利益有關。（EX:人肉搜索的正當性）