個資法專欄/個資防護的核心:文件保護
文/個資法專家個資法正式上路後,企業開始陸續着手進行相關係統、設備的升級或更新,但往往焦點都放在「數位資安」,卻忽略「紙本文件」也跟您的個資資料外泄息息相關!
勞工局考績冊亂丟 個資遭外泄今年初有民衆在一處民宅大樓附近,撿到4張高雄市政府勞工局勞動檢查處最新年終考績表格,全體職員姓名、職稱、身分證字號、獎懲情況及過去五年考績分數等資料全被看光光。對此,勞檢處表示,是承辦人員列印時,未察遭其他人員誤拿取。如此嚴重的疏失,其實都存在企業中成爲併成爲隱憂。
資安專家翁浩正表示:「在企業面對個資法的同時,「電子檔案」的保護固然重要,但應同時重視「紙本文件」。而從歸屬上來區分,一般企業可以分爲「員工的人事資料」,以及「客戶和合作廠商的個人資料」兩種。在保護上,依法還要注意資料的,有「蒐集」、「處理」、「利用」等三階段過程。「蒐集」是指個人資料之取得,「處理」則包括了儲存、保管、編輯、複製、檢索、刪除等作業,至於「利用」則泛指其他一切使用個人資料之行爲。以前面所提到的勞工局考績冊外泄案例來說,就是在紙本文件的個資保護上,在保管之過程出現嚴重漏洞所導致。」
完善「PDCA」 不怕個資外泄PDCA 機制,即規劃 (Plan)、執行 (Do)、查覈 (Check)、行動及改進 (Action)。實行這四步驟,才能確保在個資的防護上到達一定的水準。PDCA這四步驟可簡單濃縮成一套企業專用的SOP:1.規畫:制訂個資保護政策和設立專門組織、明訂個資存取控管程序與方法。2.執行:進行「個資分類盤點」與保護程序、落實「個資保護」宣導與教育訓練。3.稽覈和改善:加強個資安全監控與檢視、提高個資外泄事件反應能力、重新審視與委外廠商的權利和義務以及遵守法規並落實內部稽覈機制。
上述SOP中,「個資盤點」與「個資文件保護」爲最重要的核心。機關與企業若能在發生個資外泄事件、面對損害賠償訴訟時,對法官證明自己已經採取了「PDCA」的程序、以及對個資文件已採取恰當的保護措施,也都有效執行,就可以免責。