个资法上路已3个月,许多民众称之为“马政府最有感的政策”;但是去年12月屏东县政府爆发“环评报告书个资外泄”事件,社会才惊觉个资法虽立意良善,但企业主跟政府机关却不知该如何调适,再次凸显出个资防护被忽略的严重程度。
去年12月,在行政院环保署网站公布的环评报告书中,屏东县政府的高屏溪火葬场计划,竟然违法公布出大量的民众的个人资料,引起舆论一阵哗然。
在环评报告书里,屏东县政府公布了投书县长信箱的民众,以及向屏东县政府陈情的陈情人的“姓名、身分证字号、电话、地址”,所有个人资料都被看光。这起个资外泄事件,县政府没有执行必要的个资文件保护措施,对于“谁在何时动过这些个资文件”政府内部互踢皮球;而此一案例,再度反映个资防护被忽略的严重程度。
面对个资法,企业与政府应同步重视“纸本文件”和“电子档案”;未来公司违法,不只老板,实际上经手的员工,也有可能因此受罚。因此公司员工的个资处理,不但需要强化安全控管机制,未来更要确实追踪资料流向。
在台湾资安界,推动文件保护不遗余力的优硕科技总经理黄祖仁表示,在任何机关里,处理为数不少的个资在所难免,但只要确实订立适当安全措施,落实“PDCA四步骤”:“规划(Plan)”、“执行(Do)”、“稽核(Check)”、“改善(Action)”;并加强记录保存与管理,即可确保个资安全、也可免除机关与个资管理人的法律责任。
黄祖仁指出,企业的个资文件保护方法很多,有的手续却太过麻烦;举例来说,把全部个资纸本文件锁进保险箱,需要时写签呈申请,虽然也是一种保护措施,但显然在实务上不可行。
因此,如何做到“妥善保存个资文件”、“纪录个资文件流向”,成为企业重要课题。黄祖仁表示,也已有许多资安厂商提供个资文件保护服务,各机关可以斟酌情况,选择对自身有最大效益的方案使用。黄祖仁提醒,只要企业能落实保存个资文件的使用纪录及轨迹,不但能掌握个资控管环节,也能做到文件流向的事后举证,才可有凭证作为自保。