個資法專欄／個資法案例不斷　企業該如何自保?

文／個資法專家個資法上路短短不到半年的時間內，不斷爆出國內企業與政府的個資外泄案件。雖然至今尚無因個資外泄而賠錢的消息傳出，卻一再的反映出個資防護被忽略的嚴重程度。而身爲企業主的你，應正視公司內部個資外泄的危機。

太子汽車於前日傳出個資外泄事件，發生在網站存放的一份純文字檔名單資料，裡面紀錄着政治人物的姓名、頭銜，及手機號碼。包括副總統吳敦義和新北市長朱立倫，以及吳伯雄等政要的手機號碼，全都在太子汽車的網站上曝了光，加上國民黨衆多民代和政要，一共1300多筆的個資外露。這已經涉嫌違反個資法， 1300多筆電話沒經允許就公開讓人能找到，雖然該網站重新整理上線後，這些資料已清除，但恐怕手機號碼已經擴大外流。

對民間企業而言，若該事件發生在自己身上，依照個資法第二十九條第一項規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」面對個資法，企業應同步重視「紙本文件」和「電子檔案」；公司違法，不只老闆，實際上經手的員工，也有可能因此受罰。但若是能在被告的同時提出有將個資保護好的證據，則免責。因此公司員工的個資處理，不但需要強化安全控管機制，未來更要確實追蹤資料流向。

積極實行『個資盤點』、『個資保護』、『稽覈管理記錄』、『個資教育訓練』

秉持預防勝於治療的觀念，國際驗證公司BSI日前將英國個人資料保護標準BS10012，根據規畫、執行、稽覈、「改善」四項建立出品質管理循環，並依據四字英文字首，簡稱爲PDCA。也就是個資法及施行細則中所謂的「適當安全措施」在訂立時所必須參考的標準。

「規畫」：分爲制訂個資保護政策和設立立『專門組織』、明訂個資存取控管程序與方法兩項。「執行」：涵蓋了進行『個資分類盤點』與『保護程序』、落實個資保護宣導與『教育訓練』。「稽覈」和「改善」：包括了加強個資安全監控與檢視、提高個資外泄事件反應能力、重新審視與委外廠商的權利和義務以及遵守法規並落實『內部稽覈機制』。

優碩資訊科技解忠翰表示：『除了完整PDCA安全措施外，企業還可以將盤點出的個資加設DLP/DRM防止資料外泄技術，將個資文件加密保護、及個資文件設權限，將可以達到個資保護的效果。』