[封面故事] 金融業個資新法因應之道

2012年個資法大調查：企業篇

在個資法即將正式上路之際，金融業IT主管在人員認知、教育訓練、個資盤點、用戶告知及同意取得、安全防護及法規遵循上的準備及因應狀況到底如何，乃至面對本雜誌調查結果之看法，皆會在本單元中進行討論及介紹。

從這次調查結果的各項數據可以看出，金融業的因應腳步在當前各類產業中，算是比較快的，而且因應態度也較為積極的產業之一。

金融業延續舊法 維持高認知程度

而其中一項關於認知程度的調查項目，金融業同樣呈現較為突出的成績，滿分比例最高(26.23%)，顯示對於新版個資法認知程度相較其他產業似乎較為充足。

對此，兆豐國際商業銀行資訊處處長楊正權認為，金融業本身就是現行「電腦處理個人資料保護法」（以下簡稱舊法）適用的8大行業之一，相較於其他原本未納入規範的產業，金融業早已含括在內，長久以往的經驗累績，認知程度自然而然相對會較理想。

華南商業銀行資訊科技管理群/資訊作業服務部經理黃文生同樣表示贊同，因此，金融業相較於其他產業，對於新修訂的「個人資料保護法」（以下簡稱新法），因應態度也會較為嚴謹與積極。

楊正權補充表示，過去也有不少銀行違反舊法，而遭到行政院金融監督管理委員會開罰的案例，再加上新法罰則加重，罰款也拉高上看2億元，所以不可輕忽。

而金融業普遍認知程度高，部分原因也可能與已著手開始相關人員的教育訓練有正向關係。以兆豐金融集團為例，早已開始將新法公布的法則、或是概念納入全體員工的E-learning課程當中。

是由兆豐金控為主導來進行統籌，並指派資訊長來擔任相關政策宣導的主事者，再逐步擴大到旗下子公司，且針對資訊部門及各部門主管皆強制性參加，其他部門目前則還尚未全面硬性規定必須參加。

會如此，楊正權解釋，主要是因為施行細則尚未定調，目前也不宜過度反應，但也不可全都不做，所以現階段先從資訊部門與部門主管開始，等到細則正式公布後，才會根據細則擬定適當的應對政策，或是強制全體員工必須參加教育訓練

課程，且加強政策宣導。

關於政策宣導，華南也相當重視，該銀行不僅現已針對新法規範開始進行政策宣導，至於在既有的「華南商業銀行消費者保護工作自評檢核注意事項」當中，也預計會將新法之規範一併納入，包括對於行員的新法認知程度進行考核。

新法過於嚴苛 影響落實進度

但楊正權與黃文生都一致認為新法部分條文過於嚴格，也讓相關因應措施遇到相當大的瓶頸，包含間接資料的蒐集，以及書面同意與告知義務的執行。首先，第54條明訂：「間接蒐集的個人資料，應在1年內告知才能處理或利用」。

對此，過去舊法對於間接蒐集而來的個人資料並無特別規範，楊正權指出，目前全國信用卡、金融卡發行筆數大量，光是信用卡發行便逾3,000萬張，申請書上除了申請人資料外，同時還有其他聯絡人的資料，初估就有上千萬筆資料需補行告知當事人銀行擁有他們的個資。

楊正權進一步舉例說明，至於授信相關資料則又更為複雜，除了主貸款本人的資料，還必須填寫保證人，甚至若是公司授信，還有財務部門、董事長等等的資料，倘若要求1年內皆須完成，可以說是完全沒有辦法落實的。

上述問題也是主要影響兆豐個資盤點進度的主因之一，該公司從去年開始就已經進行個資盤點，至於過去舊法所規範的電腦資料則是繼續補強。然而，新法擴大個資的定義範圍，因為如此，企業所清查的範疇勢必跟著擴大。此外，在盤點過程中面臨的另一大難題便是「個資散居各處」，過去間接蒐集而來的資料並無特別管控其所存放之地點與媒體，也未做明確的界定，導致增加個資盤點清查上的難度。

再加上，新法罰則是按次計算，若清查不徹底，一筆一筆罰，最高可罰到2億；而新法實行連帶責任罰則，除公司資料管理者受罰外，其連帶行政管理負責人也亦遭受到罰鍰，「嚴謹度跟過往是完全不可同日而語的。」楊正權說。

至於書面同意與告知義務的執行，好在去年施行細則草案版本就已放寬，可以採用電子文件表示，施行細則第13條便明訂：「告知之方式，得以書面、電話、傳真、電子文件或其他適當方式為之。」黃文生認為，如此以來，才較為貼近實際做法，否則，若都必須採用書面通知來執行告知義務，必然會額外增加企業成本並影響競爭力。

此外，施行細則對於1年內期限之規定目前尚不明確，法務部提出修法初步方向時，傾向刪除該項規定，改為應在處理或利用前向當事人告知。因此，黃文生表示，屆時細則定案後才會再依據規定有所行動。

企業自行舉證 仰賴管理機制健全度

在此調查結果中，7成左右(74.66%)的企業都表示管理機制與管理流程會受到最大衝擊，對此，楊正權與黃文生同表肯定，且都一致認為是因為受到舉證責任轉移之影響。

黃文生指出，以前民眾如果想告企業洩漏個資，必須舉證是該企業洩漏才告得成；修法後「舉證責任」變成企業負責，民眾只要合理懷疑，都可提出訴訟，並賦予主管機關隨時進入企業檢查與扣留證物的權力。因此，企業必須舉證沒有洩漏客戶個資、或已善盡保管責任，否則將面臨民、刑事責任。

「由於未來企業必須自行舉證有善盡保管之責，所以管理機制的強化是勢在必行的。」黃文進一步說，「不僅止於人員的管理，設備（端點）的控管也需同樣注重。相對的，也必須引進適當的管理工具，才會有『籌碼』。」