行政院頒布新措施!個資外洩案件不姑息,保護個資安全成為企業首重任務
行政院於今(112)年5月29日修正了《個人資料保護聯繫作業要點》,要求中央目的事業主管機關嚴格落實個人資料保護,並強化個資外洩案件的調查執行,企業必須預先做好個資防護的守備戰,確保客戶和合作夥伴的個人資料得到妥善保護。
行政院強調,此次修正旨在加強個人資料的保護措施,提升行政機關對非公務機關個資外洩的應對能力和執法能力。透過「事前」強化部會的執法能力和業者的個資防護能力、「事中」改進案件通報和監督程序,以及「事後」落實執法和加強行政檢查等措施,以改善現行制度,確保監管措施的有效執行。
本次要點修正的重點摘要如下:
一、強化執法能量與行政檢查:明確要求中央目的事業主管機關成立常設個資行政檢查小組,制定年度行政檢查計畫,優先針對高風險業者進行檢查。
二、修正重大矚目個資外洩案件的通報流程:明確首次通報時限、行政調查時程,以及可能共同進行調查的機關。
三、明確行政處分與行政處罰規定:規定中央目的事業主管機關在行政調查後,可對違反個人資料保護法的情形進行行政處分或行政處罰,並應落實監管權限的行使。
個人資料保護是一個重要的議題,鑑於近年發生多起重大個資外洩事件,多元的詐騙手法更是嚴重影響民眾生活,以及店家的商譽。除了修正要點強化各部會對於個資保護的執法的密度外,立法院日前三讀通過《個人資料保護法》部分條文修正草案,更將個資外洩的相關行政罰則大幅提高,未來企業面對個資保護議題應更加留意,也須投入更多心力。
資策會科法所法律研究員李怡親表示,面對越趨嚴格的個資行政調查及行政檢查,企業首重三項任務。首先,繪製個資作業流程圖以及製作個資盤點清冊的功夫不能少,如同資產盤點一樣,個資盤點能幫助企業確認個資管理範圍,以及蒐集、處理或利用之適法性。其次,為因應風險的未來性、不可預測以及偏離預期的特性,企業有必要建立一套一致、有效且可比較的風險評鑑標準。這樣才能避免不同評鑑人員在評估風險時產生過大的差異,同時也能根據不同等級的風險制定相應的對策。第三、針對個資委外業務的管理,尤其是當涉及委託雲端服務業者且資料儲存地設置於境外時,企業得透過自評表的方式,進行第一階段選商的評估,並在委外的過程中確保企業保有實地查核權力。
此外,企業應針對上述成果建立文件紀錄與持續改善機制。同時,企業可以透過導入TPIPAS及CBPR等個資保護制度,並透過定期驗證取得唯一由政府核發的個資保護標章,作為積極打造個資保護環境的有力證明,更是企業長遠發展中持續增進競爭力的重要保障。
