新個資法上路 企業有3大法律義務, 工商時報, 孫德至律師

2010年4月立法院通過新「個人資料保護法」之修訂，大幅修改過去「電腦處理個人資料保護法」之適用範圍與管制結構。新個資法通過後，創下了我國法制多項空前紀錄，包括長達2年多期間行政院未能指定施行日期，形同暫時「凍結」立法院所通過之法律、之後行政院又排除部分個資法條文（第6條、第54條）適用，並指定其他條文於今（2012）年10月1日起施行，實質上修改立法院的意志。姑且不論行政院有無「違憲」的疑慮，對於這部一開始默默無聞，但後來爭議迭起的個資法，企業準備好了嗎？

最近，許多企業開始詢問：因應新個資法，是不是只要取得當事人書面同意後即可？其實，當事人書面同意只反應了個資法規範的其中一個環節而已。以提綱挈領的角度來理解個資法，個資法至少加諸企業三大法律義務：一、遵循法定蒐集處理利用程序之義務；二、對個人資料維護管理之義務；三、配合主管機關行政檢查之義務。

就遵循法定蒐集處理利用程序之義務而言，新個資法以資料的來源，區分為「資料來自於當事人」及「資料非來自於當事人」兩種。而就個人資料的使用方式而言，又區分為「蒐集」、「處理」及「利用」三階段，分別施以不同程度的管制。如果個人資料直接來自於當事人，原則上應該在「蒐集」階段前便對當事人依法進行告知，且除非有其他例外情況，則原則上應取得當事人書面同意。如果個人資料並非直接來自於當事人，則在「蒐集」階段無法對當事人告知，但在「處理」及「利用」階段前必須進行告知並且取得同意。

個資法施行日（101年10月1日）前所蒐集的個人資料，依新個資法的施行細則，原則上，來自於當事人的個人資料，可以在原本的目的範圍內繼續處理及利用。非來自於當事人的個人資料，則根據個資法第54條之規定，必須在施行日後1年內補行告知。但由於此等「補行告知」的行政作業太過困難，經各界強烈反彈後，行政院目前排除個資法第54條之適用，也就是不用「補行告知」。

其次，就對個人資料維護管理之義務而言，個資法規定，對於個人資料之保存，應該採取「適當之安全措施」，以防止個人資料遭竊取、竄改或其他意外。至於何謂「適當之安全措施」呢？個資法施行細則，以「組織上」及「技術上」兩項標準，來檢驗企業對個人資料保存是否已採取足夠的保護措施。在組織上，企業必須配置適當且專業人員管理個人資料；而在技術上，則應該建立安全設備、防護機制、及紀錄保存等，以防範個人資料外洩之風險。

第三，是企業配合主管機關進行行政檢查之義務。個資法授權中央目的事業主管機關及各縣市政府得進行例行性檢查，且得要求沒入、扣留或複製個人資料。企業或許無法心存僥倖，以為沒有資訊安全意外就可以高枕無憂，因為，即便沒有資訊安全意外事件，主管機關仍有可能藉由例行性行政檢查，查知民間企業資訊安全漏洞，並加強行政管制手段甚至處以裁罰。

針對前述個資法所帶來的新衝擊，企業主可以考慮三個步驟以減低不必要的法律風險。第一，全面性盤點目前資料庫內所存放之個人資料，確認取得來源之合法性、蒐集目的及保存期限。如存有不必要或無價值之個人資料，應考慮移除。第二，建立適當的安全機制及個人資料蒐集、處理及利用之流程，以避免資訊安全上之漏洞。第三，藉由定期之內部訓練制度，強化員工對資訊安全之意識以及危機處理之能力。

新法上路，無論管制者與被管制者都須經歷短暫的適應陣痛期。企業惟有作好充分準備，方有可能將陣痛減到最低，以合法取得之個人資料發揮最大效益。

（本文僅為作者個人意見，不代表事務所立場。）