台湾于2011年5月26日正式公布新版《个人资料保护法》,于2012年10月1日正式实施。其法条无缓冲宽限期,且适用对象不再局限于八大民生相关产业。企业未遵循该法将可能产生商誉、法律、诉讼、财务及停业之风险,甚至将会面临高达新台币2亿元的损害赔偿。现代企业经营与个人信息的使用已密不可分,销售、营销企划、人事、客服、信息等部门在日常活动中皆有可能收集、处理及利用个人资料,因此《个人资料保护法》的实施将对各种规模的企业皆造成不小冲击。
多数企业目前已陆续建立并强化其个人资料保护机制,建立个人资料管理组织及程序,并加强相关人员的教育训练。企业面对如此庞大且复杂的个人资料,如何有效地管理个人资料表单及其生命周期流向以及个人资料保护风险,以确保个人资料管理的有效性,并且让组织的个人资料保护措施成为个人资料保护妥善管理的证据,成为亟须解决的议题。本文将从组织、流程及信息科技三个层面对企业提出建议。
一、企业应建立适当的个人资料管理组织
新版《个人资料保护法》及实施细则最主要的改变是加强了企业的责任,包括委外管理、企业内部个人资料保护管理措施、个人资料侵害举证责任等,皆是新版《个人资料保护法》中新增的要求。这些要求同时增加了企业内个人资料保护的相关作业活动,为使其能够在企业内顺利开展,企业应立即建立适当的个人资料管理组织以进行个人资料管理的推行,并确保个人资料保护的观念可传达到每个单位同仁。
目前参考《个人资料保护法》实施细则及相关参考指引,建议个人资料保护组织的必要角色及权责如下。
(一) 个人资料管理部门
依据《个人资料保护法》施行细则第12条及21条,企业内应配备相应的管理人员及资源。同时依据第27条,企业内个人资料保护的具体作业可分成:维护企业内个人资料档案清册、进行个人资料风险评估、制订企业内个人资料保护管理程序、实施个人资料认知倡导及教育训练等。因此,个人资料保护应该是整个企业
的活动而非单一部门的活动,需要有专责人员以企业整体为考虑来规划、带领各部门执行个人资料保护管理活动。例如企业应如何收集全公司个人资料档案清册、应建置哪些个人资料存取管控措施、应如何调整委外契约以符合法规、应如何建立客户收集告知机制、如何留存客户个人资料使用同意记录等议题,往往须通过企业各单位共同讨论,以制订应对方式。目前产业界主要从法务、风管等与法令遵循、风险控管相关的单位中选派合适的人员组成个人资料管理部门。
(二) 个人资料管理召集人及个人资料管理委员会《个人资料保护法》非常重视企业妥善管理责任的展现,强调企业主的责任,在第50条中要求“若公司个人资料管理不当,公司代表人、管理人或其他有代表权人受相同处罚”。同时,个人资料保护作业因可能直接影响营运方式,在实施前或实施后皆须呈报高阶长官,以确保企业内个人资料保护的方向与目标一致。企业可依其规模大小由第一、二级高阶长官担任召集人及高阶管理团队,并通过定期会议来管理审核作业,以确保个人资料政策的规划执行、资源的有效分配、评估制度的适法性与合宜性,等等。
(三) 个人资料管理代表
个人资料保护的开展除了需要前述两种角色权责外,更重要的是能够在各单位中执行个人资料保护活动的种子人员,这些人员将代表各单位进行相关个人资料管理的沟通协调事宜,确认应遵循的事项。执行项目包含相关业务的推动与执行、个人资料保护的教育培训,并确保各单位可确切落实。
(四) 客户联络窗口
联络窗口主要是作为对客户的联络窗口,因新版《个人资料保护法》中强化了对当事人的告知义务,如第12条要求“若有资料外泄情况,应查明后告知当事人”。因此,依据企业现状,若已有相关机制(如客服、客诉机制),则可通过既有渠道建立联络窗口机制,以负责接受当事人申诉与咨询;若企业内目前没有类似机制,则至少应建立一个客户联系渠道,为客户提供针对该企业如何使用个人资料的相关咨询。
(五) 稽核小组
为了确认各单位的个人资料管理落实程度、协助发现管控疏漏、厘清疏漏的根本原因,同时协助追踪改善方式,企业可依循内部文化和既有机制来选择适当的个人资料稽核方式,如内部稽核或是单位交叉稽核。
(六) 个人资料侵害紧急应变处理组
疑似个人资料侵害事件发生时,企业须快速因应,掌控侵害事件发生的经过、快速进行调查评估,并于适当时间对内、外有适当响应,因此建议于平日即建立个人资料侵害紧急应变处理组,以因应临时需要的状况。个人资料侵害紧急应变处理组应全面考虑事件管理、调查评估、公关媒体沟通等事宜,以完整涵盖在侵害事件发生时所需进行的事项。
个人资料管理不仅只是遵法议题,更是企业组织的管理议题,其风险将影响企业的生存与品牌商誉,包含当事人权利展现议题、数据安全管控议题、个人资料风险管理议题、个人资料侵害紧急应变处理议题,这些都需要企业投入适当的资源、人力,并通过跨单位管理来规划、执行并持续改善个人资料保护管理体系。企业可通过上述个人资料管理组织的角色权责来检视内部状况,而个人资料管理组织的重点不在于新增哪些专责人员或专责单位,而是需确认在个人资料保护管理机制运行时各项权责在企业内皆有对应的人员及单位,以真正落实个人资料保护管理。
二、从个人资料生命周期入手调整流程,降低《个人资料保护法》对企业营运的冲击
《个人资料保护法》要求个人资料档案应明确定义,且企业在收集、处理及利用个人资料前,须和当事人进行清楚的告知作业。所取得的个人资料在处理及利用过程中,应实施较一般资料更为严格的管控。同时,当事人依据企业存放的个人资料进行资料复本获取、资料新增、资料查询、资料更正等作业。
反观企业活动,销售、营销企划、人事、客服等部门在其日常活动中皆有可能收集、处理及利用部分个人资料。因此,决定哪些流程需调整,确认调整方向,集中资源进行核心营运活动的调整皆是企业目前最关键的问题。
建议企业梳理个人信息流生命周期,辨识个人资料收集、处理及利用活动,找出业务流程差异点。以下将依据《个人资料保护法》的要求分享业界常见的议题及建议。
(一) 个人资料收集、处理及利用要求对营运流程的冲击
出于人权保护,《个人资料保护法》要求企业应让客户了解个人资料收集的目的及个人资料的使用方式,确保资料的使用符合当初客户授权的目的。然而在现行复杂的营运活动中,个人资料在企业间互相传递,企业所持有的可能已是第二手甚至是第三手的资料。企业为开拓客户,通常有多种资料收集渠道,而集团间、企业间相互分享或提供客户名单的状况也时有所闻,导致企业常常难以追溯个人资料最初的收集来源及目的。
1.分析业务收集目的
企业需先盘点所有的资料收集端,界定企业是直接收集抑或是间接收集的角色,所有的收集活动是否皆符合业务特定目的并已完成收集告知且获得同意。可以从企业的盈利登记来定义个人资料收集目的,但若其目的不在原盈利登记内,是否导致不得收集个人资料,或是过往收集的个人资料不能再利用然而个人资料在企业内并非为单一业务存在,而是由各类业务需求而产生的一连串信息,因此企业需从业务层面分析个人资料收集的必要性及目的,同时再从个人资料档案支持业务的层面比对个人资料档案与业务的关联,以确保该个人资料档案存在企业的合法性。
2.界定收集时点判定原则
在新版《个人资料保护法》实施前收集的资料,可能没有收集目的,该法不追溯过往所收集的个人资料及收集活动,但规范现行企业对该个人资料的使用状况,因此在规范要求上出现时间差,以前收集的资料不一定能继续使用,造成营运冲击,因此建议企业应界定个人资料的收集时点判定标准,针对旧有收集的资讯进行标示,若在企业营运活动中需再利用时,需再进行相应的告知及同意活动。
3.应为各类收集渠道设计收集告知及同意程序企业除了通过实体渠道收集客户个人资料外,也可利用许多虚拟渠道,通过电话、网页等收集资料,因此需针对不同的收集渠道设计不同的告知、同意方式,以便让收集端同仁方便和客户说明,收集的个人资料在后续处理及利用过程中可有明确的判断依据,收集的证据可在未来使用。建议企业可从公司层面考虑建立收集告知同意程序及告知范本,先制订一致的特定目的、个人资料利用方式供各业务参考,再由各业务依据业务特性进行差异化。
(二) 个人资料处理、利用管控与业务便利性议题1.实施适当的个人资料安全管控措施
《个人资料保护法》第27条规定,针对数据处理、利用要求应实行适当的安全措施,同时实施细则中要求企业加强个人资料保护。在收集、处理及利用活动中建立企业管控程序及安全防护措施,如个人资料的存取最小化、安全储存及销毁的规范、使用及传递的加密保护。不论是管控程序或是防护措施皆可能直接影响业务便利性与效率。企业常陷入安全保护与业务便利性的冲突思维中,然而《个人资料保护法》并非要求企业滴水不漏地保护个人资料,而是要求在企业的管控水平中展现管理责任,因此建议企业可积极地设定个人资料管控策略,从风险评估中选择适当的个人资料管控。
2.客户拒绝营销机制
《个人资料保护法》规定,企业应向客户提供表示拒绝接受营销的方式,并负担所需的费用。营销作业是企业重要的营运活动,业界存在多样且复杂的共同营销模式,针对渠道分享模式,企业应确保在平面广告或文宣中提供免费客服电话或电邮联系方式。针对从他处取得的会员名单,应在联系时说明收集的资料、来源及使用的目的,同时设计沟通技巧,以取得客户信任,满足客户对个人资料使用的了解需求,并依法提供拒绝渠道。
(三) 当事人权利行使流程
《个人资料保护法》为保护人权,特别强调当事人对其个人资料的权利,并要求企业在一定时间内回应客户的请求。除了既有的资料查询、更正及提供复本的流程外,企业须再提供申请删除及停止收集、处理利用的流程。为清楚界定客户请求删除或停止处理、利用的资料,建议企业向当事人提供权利行使渠道及行使表单,通过前端同仁的说明及申请单内容,预先过滤定义不清或是意图不明的请求。同时对内建立判断原则,便于业务端同仁有一致的处理标准,符合法规的回应时间,同时提供适度合理的处理回复。
(四) 委外管理流程
《个人资料保护法》第4条特别强调受托机构视同委托机构,应受到同样的规范管制,并于实施细则中更严谨地在委外合同签订前、委外作业执行中及委托关系终止时分别要求企业对委外单位进行监控。企业应先界定个人资料业务中与合作单位的关系。然而如今企业间业务往来密切,个人资料档案抛转频繁,难以清楚界定是委外还是合作。建议企业可先通过合作厂商所承揽作业的特定目的来判断是否为企业既有作业的延伸,借以辨识是否为受托机构。与受托机构签订的合同中需要完整包含实施细则中的要求,未来将依据合同实施对应检查作业。而针对其他交换过客户资料的合作单位,则可依据业务特性适度要求该单位出示个人资料保护措施。
(五) 企业个人资料管理流程
个人资料管理不仅只是个人资料数据安全管控、当事人权利展现议题,还包括资料风险管理议题,个人资料侵害紧急应变处理议题。企业应定期执行个人资料盘点流程,以更新个人资料范围,通过个人资料管控检查确认企业个人资料保护的有效性,并反馈于个人资料风险评鉴,了解个人资料风险变化,以实现个人资料管理持续改善。这些新增的个人资料管理活动可并入原有管理活动中,建议企业在理解个人资料管理意图的基础上,对应内部既有的管理模式,适度地在既有的管理活动中加入个人资料管理议题,以降低新增流程对企业所造成的影响。持续改善的个人资料管理活动需要企业组织的配合,也需要相关解决方案的配合,才可让企业在个人资料管理上更具效益。