張紹斌檢察官用比較簡單方式說明個資法,個資法2條、19條、20條、41條對我們企業影響比較大,但也提到施行細則中的規定會和個資法母法的規定矛盾。
例如:非法機構,不受個資法管控!
因第六條不實施,特種資料反而可被搜集(病例是一般資料,醫療是特種資料,但醫療有包括病例吧?)
自行公開可搜集,人肉搜索需符合公益,此外對新型態媒體(例如google、facebook)無明確約束!
所以在台灣整個個資法的配套措施到現在都還沒有完成,大家無所適從。
個人資料保護法影響最大就是企業的人力資源部門及資訊單位!
個人資料保護法對企業人力資源部門的影響(上)
http://eblog.cisanet.org.tw/97455126/article/content.aspx?ArticleID=1819
個人資料保護法對企業人力資源部門的影響(下)
http://eblog.cisanet.org.tw/97455126/article/content.aspx?ArticleID=1820
2012-09-26 法務部令:修正「電腦處理個人資料保護法施行細則」名稱為「個人資料保護法施行細則」並修正全文
中華民國一百零一年九月二十六日法務部法令字第 10103107360 號令修正發布名稱及全文 33 條;並自一百零一年十月一日施行(原名稱:電腦處理個人資料保護法施行細則)
http://law.moj.gov.tw/News/news_detail.aspx?SearchRange=G&id=87262
法務部個人資料保護專區
http://www.moj.gov.tw/lp.asp?ctNode=28007&CtUnit=805&BaseDSD=7&mp=001
ITHome的個人資料保護法主題網站
http://www.ithome.com.tw/privacylaw/
若以法規遵循的要求看,新版個資法細則不強加要求公務或非公務機關一定要成立個資因應小組,而改以專人管理取代之。
今天只有專人負責承辦個資保護相關事宜時,若沒有單位組織等一定層級以上的高階主管的充分授權,單只有透過指派專人負責個資保護事宜,在組織運作上,該名個資保護專人甚至很難叫得動其他平行部門的同仁。
看了日本企業如何因應個人情報保護法相關實例,體會到有時必須要求其他部門主管也必須要遵守個資法相關規定,甚至還得調整許多作業流程,組織單位應該要成立一個具有管理實權並充分授權的管理組織,來因應各種國際標準甚至是法規遵循的要求。
而就IT角度來想,個資外洩跟機密資料外洩是一樣的事,能做的不外乎是權限與行為控管(DLP/RMS) 與 Log archive。
我在參與這類型研討會後,發現了一個共通的問題點,就是多只從產品的角度出發,來決定這些產品在個資法中能扮演什麼樣的角色,而缺乏從企業IT的整體角度來思考企業本身迫切需要的是哪些層面的防護,當缺乏通盤資安觀念的IT人員接收到這些片面的資訊之後,自然很容易陷入片面防禦的迷思,而很容易對自己的需求產生混淆!
畢竟用軟體控管只是手段,我認為對公司而言比技術更重要的事,是提升員工對公司的向心力以及尊重他人隱私的文化,尤其在非常時刻更顯得重要,它會是讓企業得以長久經營的關鍵。
留言列表
