个人资料管理人员教育训练讲义 - 长荣中学.doc

個人資料管理人員教育訓練講義 電腦中心製2012/10/24 一、個人資料保護法施行注意事項 「個人資料保護法」於10月1日正式上路，新版個資法加強規範企業在客戶個人資料上的遵法義務，未來企業在委託或外包案上，廠商若不慎洩露個資，企業也須負連帶的民事、刑事責任。 根據美國的研究報告，在企業資料外洩的案件中，大約90％發生於委外關係。因此，企業進行委託或外包的評選過程中，應審慎考量該廠商是否有能力做好法令遵循，以確實保障個資不外洩。 新版個資法已納入雙罰規定，若洩露個資，企業和企業負責人均須受罰，罰責可說是愈來愈重。另外，新法也要求企業須負舉證責任，只要個人檢舉個資外洩，企業必須自行舉證沒有故意過失。 由於消費者權利意識提高，新法也引進團體訴訟機制，20個人以上就可以用書面授權公益團體打官司，同時也提高民事責任，若因同一原因造成多人受害，賠償金額最高可達新台幣2億元。 蔡朝安說，新版個資法實施後，金融保險業、零售業、醫療業等，所受影響較大；另外，即使是非營利事業組織，包括教育團體及社福團體等，也必須遵從個資法規定，因此，企業或非營利團體皆應建置個資保護制度，降低可能產生的風險。 經過個資盤點後，企業可能發現要遵法的工作比想像得多，不只業務流程，包括行政流程或員工資料等，都在個資法保護範圍內，企業不可輕忽個資法帶來的影響。 企業應導入基本的認證機制，例如BS10012國際認證，日後萬一發生個資法律爭訟，可證明企業已基本保護個資，進而降低風險。企業應取得更具公信力的第三方審查報告及資訊安全認證，以增加對企業個資管理的信賴度，並搭配相關資安及法律制度措施，以建立完整明確的防護措施。 資誠會計師事務所指出，以前業務委外，若個資丟了，企業可能就不管了。但是，未來委外的個資如果弄丟了，或者是遺失，就不能不通報。舉例來說，像是網購業者如果在委外時(如請送貨公司送貨)等，個資被洩漏的話，網購業者以前可以說不知情，但新個資法上路之後，網購業者就難以推卸責任。 此外，現在很多民眾都有個人資料外洩的困擾，但其實很多「外洩」情況，並不是經由金融機構。彭金隆說，例如學校都有家長會，他自己就發現，家長會中有成員，把許多家長的資料，隨意發送。但實施「個資法」後，這種行為，還能不能做，也沒有標準。 二、個人資料保護法施行細則安全維護事項 1.必要之組織：公務與非公務機關都必須要有專人、專責機關負責個資保護相關事宜，通常是由各相關部門同仁組成的個資保護組織。【資訊安全委員會】 2.界定個人資料之範圍：非公務機關應該先進行個資盤點，必須要知道誰用了哪些資料並且存放在什麼地方，這包括紙本和電子個資。【各單位制定個人資料保有及管理彙整表】 3.個人資料蒐集、處理或利用之程序：非公務機關需制定出個人資料保護相關的執行程序與標準作業流程。【依個人資料保護管理標準作業流程辦理】 4.當事人行使權利之處理程序：個人對於個資都有閱覽查詢權力，非公務機關回應程序都應該明訂。【各單位制定個人資料申請表】 5.資料安全：要求非公務機關對於個人資料應該採取何種IT科技與系統作保護。【遵照辦理】 6.資料稽核：事後對於這些存放個資的IT系統定期做資料稽核。【遵照辦理】 7.人員管理及教育訓練：人員管理或教育訓練。【擇期進行各單位資料管理人員教育訓練】 8.記錄與證據之保存：資訊設備或者紙本資料個資存取控制的記錄、日誌檔（Log）等，都必須完整保留，因為這些都是企業舉證的證據力。【各項資料使用紀錄存檔備查】 9.設備管理：各種保存個資的載具或系統，應該要做定期的維護與更新。【遵照辦理】 10.緊急應變措施及通報：要求企業必須針對個資保護不足之處持續更新，規模與強度仍交由非公務機關自行決定。【遵照辦理】 11.改善建議措施：規範資安事件發生後的通報應變流程。【依個人資料外洩通報標準作業流程辦理】 12.其他安全維護事項：概括條款，補整體草案規畫上有其他不足之處的補充法源依據。【依長榮高級中學個人資料保護管理要點辦理】 三、個人資料保護法建議留存或提供之紀錄 章節 條文 建議留存或提供之紀錄 總則 第三條 當事人就其個人資料行使相關權利之執行紀錄(查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用、請求刪除資料之Log) 請各單位製作「個人資料申請表」確實留存使用紀錄並存檔備查。 第五條 個人資料之蒐集、處理或利用與蒐集之目的關聯之紀錄 依據「長榮高級中學個人資料保護管理要點」之規定辦理。 第八條第九條 1告知當事人事項之紀錄或免告知之說明紀錄2.個人資料檔案所為資料之蒐集取得、記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送紀錄 1.留存「個人資料申請表」使用紀錄並存檔備查。 2.留存「資料需求申請表」使用紀錄並存檔備查；資料傳送