【RUN!PC 文/鄭盈芷】2010/8/20 上午 11:30:55
法務部法律事務司科長黃荷婷表示,施行細則估計年底就會公布,不過正式實施還要再等等,對相關產業來說,不啻又多了一段時間可以好好想想,到底該如何整理現有個資,資安防護等級又該做到什麼等級才算善盡管理之職?
自今年4月27日個資法三讀通過,5月26日公布後,相關產業都在問,施行細則什麼時候出來?尤其是擁有上萬筆甚至到百萬筆個資的電信、金融等大企業更是嚴陣以待,對此法務部法律事務司科長黃荷婷表示,按照目前時程表,施行細則草案應會在11月底出來,估計年底就會公布了。
不過時程表旁邊卻括號著:「隨時修正」,黃荷婷進一步表示,個資法甚至有可能延到後年上路,原因在於個資法牽連範圍甚廣,法務部必須先透過各主管機關聽取各產業業者的意見,彙整之後再研擬草案,同時還要召開專家學者會議,待施行細則出來後,還會舉辦公聽會,施行細則也必須送行政院審查,這樣一來一往之間,可能要一年半到兩年的時間,因此個資法明年不一定能上路。對企業來說,不啻又多了一段時間可以好好想想,到底該如何整理現有個資,資安防護等級又該做到什麼等級才算善盡管理之職?
個資法第27條提到:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」換句話說,黃荷婷強調,若企業因為資安等級不足,導致以上情況發生,就可能違反個資法;然而到底企業的資安防護要做到什麼程度才符合標準呢?這一部分則是施行細則要界定的,目前還在研擬中,黃荷婷表示施行細則應該是標示一個大方向,實際運作部分則要以各產業實際狀況再做討論。
英國標準協會驗證部協理謝君豪表示,雖然施行細則尚未出來,然而個資法公佈後的衝擊效應已經出來了,許多企業都開始認知個資管理與資安工作的重要性,就他所接觸到的電信、金融單位,已經有幾家成立涵蓋法務與資安人員的工作小組,並且開始導入一些解決方法,強化安全措施,不過企業的資安到底要怎麼做,又該做到什麼程度才算適當呢?
謝君豪建議可以參考ISO 27001資安認證標準,不過ISO 27001的範疇還包括營業秘密、財務資訊等資訊;BS 10012則是專門針對個資提出防護方式與標準,他強調這是一個可供驗證的國際標準。
黃荷婷認為,國際的確有一些資訊安全管理的驗證制度,即使企業取得了認證,頂多只能說是符合國際標準,並不一定完全符合我國個資法的規定,希望未來商業司能發展出一套符合個資法與我國實際狀況的個人資料管理標準或標章,如此企業在發生無法控制的個資受損情形時,便能透過公證第三人證明其無故意過失,而且有一套標準在,企業也比較不會無所適從。
資策會科技法律中心科技應用法制組組長邱映曦表示,ISO 27001比較偏重資訊安全,個資法雖然跟企業資安有關連,但此法主要重點其實在於個人資料內部管理,希望企業能尊重個人,正視個人資料管理的重要性與必要性。
另外,針對個資法第8條所提及的免告知事項,一些特殊產業基於業務需要,也希望能免除告知,例如保險業目前透過保險局修保險法,希望在某一些情形下,保險業可以排除告知義務,因為保險犯罪涉及重大公益考量,故要求針對此塊免除告知,如果純粹是營業行為會比較困難;而關於取得當事人「書面同意」部份,網路所取得的同意並不在書面範疇中,除非使用電子簽章,不過要使用電子簽章須先取得主管機關憑證,才可提供簽發憑證服務,對於中小企業而言較為困難。