大宅配~ 生活美學

國家大小事63：個人資料保護法上路

楊惟婷

2012年10月1日將上路的「個人資料保護法」（簡稱個資法），對照於現行的「電腦處理個人資料保護法」，新版的個資法更符合歐盟與APEC揭示的8大原則，使我國的個人資料保護機制與國際接軌。

其立法精神並非禁止企業利用個人資料來執行公務與處理業務，而是規定更周延的程序，以給予個人隱私更大的尊重與保護。

依據個資法，個人可以有權力決定自己的個資是否要提供，同時也可以瞭解自己的個人資料是如何被蒐集、使用、處理、傳輸等狀況。

所以建議每個人未來都應該注意，對於已經在別人手上的個資、或現在正要交出去的個資，要謹慎把關！

同時，個資法對企業來說，也是一場企業經營必備的知識學習，更是人力資源工作者必須正視的新挑戰。

在現今通訊科技發達的時代，資料傳輸如此迅速，一旦個人資料外洩或遭竊取，不但該資料當事人的隱私在短時間內恐即遭侵害，對企業來說也是危機管理的新議題，絕不是一套資安軟體就可以解決全部問題，企業不可不慎！

特別一提，資訊安全工作，不能只有資訊部門一個單位承擔，凡是有用到各項軟體的所有部門及人員都應瞭解，只不過，其中必須最熟悉、最懂專業的仍該是資訊部門。

個資法上路後，業務營銷部門就應控管好業務客戶的資料，人力資源部門則要管理好應徵者、在職、離職的人事資料；甚至沒有用到資訊系統的書面文件資料管理，也都必須依照個資法的規範處理，這是常被忽略掉的部分。

如果企業經營型態是屬於B2B（企業對企業）則一般部門受影響較小，但B2C（企業對個人客戶）則業務部門首當其衝。

可是不論任何企業，都有管理員工個人資料的單位，因此，人力資源部門將是必須深入瞭解個資法的重點單位。

當然，個人資料保護管理制度的導入、參加ISO27001:2005主導稽核員訓練、購買機房設備、取得各項認證等工作，是屬於資訊部門的職責。但其他部門也責無旁貸，對於必須親自主管經手的資料，至少應該有1位個資保護專責人員，進行相關工作。

例如個人資訊處理程序之監督，包括隱私權聲明的管理和傳達、訴願處理、與負責風險管理和安全的人聯繫、妥善保存相關控制措施證據（如表單紀錄）等，以證明已盡良善管理之責任。

另外，還包括定期執行稽核作業，以確保相關管理措施之有效性、通報個資安全事件等。

最後，對個資法，人資部門可採取下列因應方案：

1、設置個資保護專責人員

我建議由各個部門分工設置專責人員（即人資部門內有擔當資安管理的負責人員），或由現有人員經專業訓練後擔任之。在組織設計、工作任務、工作流程、人員選定標準等方面，都要事先規劃。

2、進行實務演練

建議依照施行細則第9條所稱的必要措施，在人力資源日常行政工作中實際執行一次，包括人資作業管理機制稽核、事故預防通報應變處理、遵照合法作業流程、認知宣導及教育訓練、委外作業保護等。

企業人資立即可以進行的作業包括：

● 盤點員工所有相關文件：
包括現行招募時的敏感性題目、員工犯罪紀錄、員工體檢報告等，未來個資法實施後，此部分資料公司不能再保存，應事先處理掉，以免觸法。

● 強化內部教育訓練：
各個管理部門都必須詳盡學習，因為新法上路後，會有一陣摸索適應期，而一般員工也要有基礎認識，才能避免誤觸法網。

至於個資法正式實施後，人資部門未來因應方案包括：

● Reference Check時，應先取得員工與前公司相關同仁同意的書面文件，再取得本公司與該員工同意的書面文件（此或可由系統設計，以符合電子簽章方式來操作，讓員工勾選）。

● 招募及人事資料檔中的表單表格，應刪除敏感性問題。

● 招募系統內容（問題）依法變更。

● 離職員工的個人資料、考績資料等，於員工新進簽約時，加註同意留存年限條款。

依據新法規定，人力資源部門有可能在持有個人資料的企業內，承擔一部分資安角色，倘若不瞭解個資法規定，就可能使企業內的個人資料遭到不法蒐集、處理、利用，或發生其他侵害當事人權利之情事。

若是企業被迫負起損害賠償責任，轉而行使內部求償權利，由於行為人必須跟進負責賠償責任，人力資源部門的資安管理負責人員將無法倖免。又若是有人資人員發生直接違法的行為，還可能面臨更嚴重的刑事責任。因此人力資源部門必須謹慎因應之！

摘自  Career職場情報誌9月號(437期)