全國矚目案件「林益世貪污案」特偵組於10月25日公布起訴書,特偵組礙於新版「個人資料保護法」已自10月1日起實施,將起訴內容中可以識別的個人資料以○○替代,引起記者協會抨擊。國巨律師事務所合夥律師朱瑞陽日前受KPMG台灣所邀請出席「個人資料保護的現況與挑戰」研討會時以此例說明,特偵組讓全民對新版個資法「有感」了。
從執行細則觀察,朱瑞陽預言2012~2014年將是個資保護團體的風光年,將如雨後春筍般出現協助受侵犯個資者進行集體提告的單位,在法庭上如何出示證據力證明已盡到善良管理人責任,企業現階段應盡速採取適當措施。KPMG台灣所執行長于紀隆也表示,新版「個資法」涉及層面相當廣,沒有產業與紙本限制,雖然該法早在99年5月就立法通過,但施行細則遲至實施前夕才公布,顯示該法影響層面大,只能說「鋪天蓋地」。
僅5%企業關注個資保護
為了解各產業對個資保護的準備程度,KPMG從2011年底至2012年中針對12個產業150家企業,以深度訪談、問卷調查、祕密客訪查的手法,以確實了解國內企業與政府機關面對新版「個資法」的認知、困難與挑戰。
安侯企管執行副總經理張允洸說明,KPMG這次的調查,除了明察還加上暗訪,互為比對,才能夠實際了解企業真正準備程度,透過調查發現,許多組織尚未跨出面對個資的第一步,而回答已經完成個資保護作業的企業也僅占5%。
KPMG這份個資保護調查報告中,企業對個資實施最大挑戰為何?前三項分別為企業認為員工缺乏個資保護認知達62%、不知如何達到法律之要求達42%、缺乏標準作業程序也有39%。在這項問卷中,最不被企業老闆擔心竟是人力資源不足與預算不足,這代表企業願意為個資法實施而投入大量資源嗎?張允洸倒不這麼認為,他說,許多組織才剛開始進入個資保護作業,還未體會需要有多少資源的投入。
個資保護 應設專責單位
KPMG個資保護調查對象的12個產業分別為科技、工業、金融、醫療、零售、基礎建設、教育機構、電信、公務機關、線上遊戲等產業。根據這份調查,有七成的組織尚未配置個資保護的權責單位或角色、職務,反觀國外,近10年企業普遍新增了「隱私長」角色,由於我國新版「個資法」仿傚國外的個資保護條文,張允洸認為,企業在個資保護上應設立專責單位才能做好個資保護工作。
調查中針對企業是否曾舉辦個資保護的人員管理與教育訓練,竟有高達5成的組織從未舉行相關的訓練或課程,張允洸表示,個資保護是人人有責,這樣的比率令人驚訝與憂心,部分組織雖然已發布新的因應流程,透過祕密調查,也持續發現執行人員的教育訓練或認知不足的情況。
根據KPMG個資保護調查報告,金融業要求客戶填的個人資料最多,是過度收集情況最嚴重的產業,張允洸說明,一位只為存錢而到銀行開戶者,在他開戶時會被銀行要求填寫所有身家資料,難怪,某位立委開記者會凸顯「銀行開戶,個資漏更多」的議題。在新法裡有一項值得重視的概念,即當事人自主權利的主張,在這份調查中,發現當事人主張「查詢或請求閱覽、請求製給複製本、請求補充或更正、拒絕接受行銷」等權利時,組織的內部服務管理程序或標準作業流程仍無法完全妥善處理。
張允洸舉例,在這次密訪中請求一家無店面零售業者提供當事人個資複製本時,該業者回答要該會員自行在網路上查詢,從法律上講,法條規定的是提供複製本,業者明顯觸法。張允洸再舉要求刪除的案例,在這次祕查中,明明請求受查組織刪除個資或告知不願再收到行銷資訊等情況,然而,當事人在告知後仍持續收到這些單位的來信、簡訊或來電等情況,顯示,這些組織並沒有徹底執行刪除、更正或補充等程序。
KPMG 4招提升個資保護
有高達95%以上的組織自認尚未完成個資保護準備工作,基於此,KPMG提出四項建議:1、積極成立管理組織與配置必要資源,針對專責人員進行培訓,並推廣全組織之個資保護認知。
2、研擬個資管理框架與風險評估,在合理投資下進行體制化改善,制度化與系統化地建立個資保護防範機制,以達到法律遵循的基準線。
3、依產業特性與組織既有作業,持續調整、改善內部個資管理程序或標準作業流程。
4、建立資訊安全管理制度以降低資料盜失風險,並強化個資檔案使用紀錄與軌跡資料之留存,同時透過持續針對委外廠商稽核活動,以確保管理制度運作有效性。
KPMG建議,企業應整合現有管理制度,納入個人資料生命週期管理,配合服務流程等調整,才能避免違法風險,同時提高整體服務水平。
本城市首頁
等級:6
