「個人資料保護法」三讀通過後對企業的影響初探

<鼎新電腦技術規劃部 范肇鈞經理>

　　「個人資料保護法」(以下簡稱個資法)，在4/27終於修法三讀通過，在筆者的記憶中個資法修法的議題已經討論多年了，經過多次討論反覆修改才定案，那究竟什麼是個資法，三讀通過對我們企業的營運又會有什麼影響呢？

　　首先，我們要先了解「個人資料保護法」所保護的標的物是甚麼？沒錯，顧名思義就是”個人資料”。假設若以台灣為數最多的中小企業來說，事實上大多數企業所擁有的”個人資料”並不多，除了企業本身的員工資料外，也極少會有蒐集個人資料的行為；但對於零售業、買賣流通業或是服務業來說，不但企業內一樣會有員工的個人資料，更可能會有為數眾多且龐大的客戶資料。其他如知名的大型平台業者、醫療產業甚至電信三雄等電信服務業者等，其所持有個客戶資料當然更而甚之，若您的企業屬於有蒐集個人資料的產業類型，那就直接是與個資法有衝擊影響的重點產業。

所以，企業對個人資料應該先有一定的了解，甚麼是個人資料？

　　根據新通過的個資法第一章第二條第一項，個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別個人之資料。

　　從這部分就可以了解其中所包含的範圍相較於現行法，已經大幅擴大所涵蓋的個人資料種類，特別是將部分更為私密的隱私資料納入(其中如醫療、基因、性生活、健康檢查、及犯罪前科等又特別在第一章第六條中明訂原則上不得蒐集、處理與利用)，對個人資料的當事人來說也能獲得更全面的保障。

　　在現行的「電腦處理個人資料保護法」中第一條：為規範電腦處理個人資料，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。修改過後的「個人資料保護法」第一條：為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合法利用，特制定本法。

　　從新舊法第一條開宗明義的定義來看，可以看出施行多年的現行法事實上有相當大的盲點，舊法無法保護到”非經電腦處理”之個人資料，且有受限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等特定產業，新的個資法在這部分做了相當大的修正，將方向轉變為保護標的本體而非特定形式，產業限制同時也予以破除，僅有公務機關與非公務機關之分別，避免了畫地自限，進而大幅提升保護個人資料安全的功能。

　　回到實務上來看，近來個資法的議題吵得沸沸揚揚，已經不只一家的企業用戶請筆者協助因應個資法的”資安規劃”，應該很多人都會有疑慮，究竟怎樣的資訊安全架構才能符合個資法的要求？筆者建議若要從這個方向思考，或許換一個角度，先檢視我們企業中，有哪些資訊跟個資法是直接相關且需要保護的呢？