ZDNet記者曠文溱 /台北報導
擁有律師執照,也是資安業者的中華龍網總經理葉奇鑫表示,個資法的上路時間點,應該再緩一緩。因為企業用戶都還沒有頭緒。
葉奇鑫今(6)日表示,就目前和企業用戶接觸的情況,擁有個人資料龐大的業者例如電子商務、電視購物或雜誌社等,對個人資料保護法的上路較為緊張。但是即便如此,後者也還沒準備好——連究竟要找會計師事務所、資安業者、抑或律師事務所來因應個資法都還沒有頭緒。連帶也不知道要怎麼做資料盤點、強化內部人員的法規遵循,以及加強資安。
「個資法上路後,應該要給企業緩衝期。明年中太趕了,明年底會比較適合,」葉奇鑫說。
新版個人資料保護法在今年五月已經三讀通過。影響層面之廣,遍及了全台123萬兼企業用戶和2300萬民眾。對企業的求償甚鉅,,一旦企業違法使用個資,用戶能提出團體訴訟求償,最高求償金額高達2億元。且產生損害時,企業主還得面臨五年以下的有期徒刑。
看待個資法的衝擊,葉奇鑫認為,除了企業用戶無所適從外,個資法也還有很多討論空間。
他表示,個資法要求企業必須負上舉證責任,但是對於已經收集經年累月用戶資料的企業來說,執行上有很大困難。
葉奇鑫舉例道,個資法第54條要求,在法令施行的一年之內,必須補告知當事人已經擁有對方資料。但是口頭、電話和郵件通知,都無法舉證企業已經善盡了告知責任。
再者,個資法還欠缺了讓企業即知即行的誘因。葉奇鑫說明道,已經做足九成個資保護功夫的企業,有可能因為運氣不好而吃上官司,但是個資法並沒有一個民事求償審判基準,讓法官可以依照不同的情況來判定。
葉奇鑫建議,司法院可以介入訂定一套參考準則讓法官作為判決標準,例如審查企業在資訊安全投資的金額或項目、是否有設立資安長,乃至有無針對個人資料保全立定管理準則或政策,羅列若干項目,若企業在相關個資保護項目都已投資,應可換取較低的罰則判決,做為企業真正在行為上保障個人資料的誘因。