「個人資料保護法」三讀通過後對企業的影響初探
<鼎新電腦技術規劃部 范肇鈞經理>
「個人資料保護法」(以下簡稱個資法),在4/27終於修法三讀通過,在筆者的記憶中個資法修法的議題已經討論多年了,經過多次討論反覆修改才定案,那究竟什麼是個資法,三讀通過對我們企業的營運又會有什麼影響呢?
首先,我們要先了解「個人資料保護法」所保護的標的物是甚麼?沒錯,顧名思義就是”個人資料”。假設若以台灣為數最多的中小企業來說,事實上大多數企業所擁有的”個人資料”並不多,除了企業本身的員工資料外,也極少會有蒐集個人資料的行為;但對於零售業、買賣流通業或是服務業來說,不但企業內一樣會有員工的個人資料,更可能會有為數眾多且龐大的客戶資料。其他如知名的大型平台業者、醫療產業甚至電信三雄等電信服務業者等,其所持有個客戶資料當然更而甚之,若您的企業屬於有蒐集個人資料的產業類型,那就直接是與個資法有衝擊影響的重點產業。
所以,企業對個人資料應該先有一定的了解,甚麼是個人資料?
根據新通過的個資法第一章第二條第一項,個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別個人之資料。
從這部分就可以了解其中所包含的範圍相較於現行法,已經大幅擴大所涵蓋的個人資料種類,特別是將部分更為私密的隱私資料納入(其中如醫療、基因、性生活、健康檢查、及犯罪前科等又特別在第一章第六條中明訂原則上不得蒐集、處理與利用),對個人資料的當事人來說也能獲得更全面的保障。
在現行的「電腦處理個人資料保護法」中第一條:為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。修改過後的「個人資料保護法」第一條:為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合法利用,特制定本法。
從新舊法第一條開宗明義的定義來看,可以看出施行多年的現行法事實上有相當大的盲點,舊法無法保護到”非經電腦處理”之個人資料,且有受限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等特定產業,新的個資法在這部分做了相當大的修正,將方向轉變為保護標的本體而非特定形式,產業限制同時也予以破除,僅有公務機關與非公務機關之分別,避免了畫地自限,進而大幅提升保護個人資料安全的功能。
回到實務上來看,近來個資法的議題吵得沸沸揚揚,已經不只一家的企業用戶請筆者協助因應個資法的”資安規劃”,應該很多人都會有疑慮,究竟怎樣的資訊安全架構才能符合個資法的要求?筆者建議若要從這個方向思考,或許換一個角度,先檢視我們企業中,有哪些資訊跟個資法是直接相關且需要保護的呢?