近年來因為個資詐騙事件頻傳,政府也愈加重視此議題;相對的,在行銷成本逐漸增加的今日,企業不論規模大小,也多希望藉由消費者或會員個資以深化關係,在數位經濟時代保持競爭力;然而,對於個資的保護,是否也能跟上法規要求,就是企業的一大議題。我國的個人資料保護法(下稱個資法)雖已實施10年餘,但不少企業仍抱持觀望消極態度,將其定調在不發生個資事故即可。然而實際上,政府今年度對於企業的個資行政檢查密度已大幅增加,除了警政署(165反詐騙諮詢專線)收到民眾詐騙報案,會通報該管主管機關,依「行政院及所屬各機關落實個人資料保護聯繫作業要點」的後續檢查(不分企業規模)外,一些保有較多個資的業者,主管機關也都會予以關切,其中不乏新創公司,甚至有不少企業,可能因並未符合個資要求,而有被裁罰及求償的風險,我們就以本文來探討近期個資的動態。
一、 線上、線下商業服務業者都要注意了,關於兩則政府近期發布的個資管理辦法:
首先是剛發布施行(112年10月12日)的「數位經濟相關產業個人資料檔案安全維護管理辦法」,要求特定業者應於施行日起「三個月」內完成「個人資料檔案安全維護計畫及業務終止後個人資料處理方法」(俗稱「安維計畫」)的規劃及訂定。適用者包括了「電子購物及郵購業」(行政院主計總處行業統計分類編號【後稱「編號」】為4871)、軟體出版業(編號582)、電腦程式設計、諮詢及相關服務業(編號620)、資料處理、主機及網站代管服務業(編號6312)、其他資訊服務業(編號639),及未分類其他金融輔助業(編號6699)。因此,像是從疫情期間業務大幅成長的提供客戶網路儲存伺服器系統服務者(電腦程式設計、諮詢及相關服務業)、或是協助平臺網站進行資料管理的業者(資訊服務業),因為會接觸到客戶的大量會員或消費者個資,數位發展部這次公告的辦法,就明文予以管理了,務必留意。
再者,是今年8月1日發布施行的「綜合商品零售業個人資料檔案安全維護管理辦法」,針對綜合商品零售業者(像是各類商場),有辦理商品零售,且資本額達1,000萬元以上,並有招募會員(會員制)或可取得交易對象個人資料之業者,也應於施行日起「六個月」訂定出安維計畫,也是同樣的道理。
上述辦法的內容架構於個資法的相關義務並加以延伸,並有更多的細部要求(像是「年度」定期個資盤點及教育訓練、個資事故72小時通報期限等),另外這類辦法也開始要求資安機制,但相較於各類資安標準,其實門檻尚不高(像是做身分確認機制、資料顯示隱碼)等,最重要的是,上述兩個辦法的寬限期差不多都在明年(114年)1,2月到期,受規範的產業務必儘速完成安維計畫的制定及予以執行。
此外,另補充幾個也相當受到關注的個資管理辦法,像是「製造業及技術服務業個人資料檔案安全維護管理辦法」(112年10月30日發布,規範該產業,而保有消費者個人資料達五千筆的業者)、「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」(110年12月30日,規範了網際網路零售業以及網際網路零售服務平台業:以網際網路方式零售商品,且登記資本額為1,000萬元以上之股份有限公司、以經營供他人零售商品之網際網路平台,且登記資本額為1,000萬元以上之股份有限公司)。
二、 沒照著這些個資管理辦法做會怎麼樣呢?
個資保護是必然的趨勢。請注意,今年個資法修法後,已經變更了過往的裁罰架構(有些企業主仍停留在年初iRent個資外洩事件,即便中央主管機關公路總局、台北市及新北市各自裁罰了和雲行動服務公司上限額度20萬元、各9萬元,總計也只有38萬元,對於企業嚇阻效果不大),當主管機關訂出了「個人資料檔案安全維護計畫」或「業務終止後個人資料處理方法」(像是上面提到的兩個產業),而所屬業者沒在寬限期內訂定對應安維計畫者,政府是可以「直接開罰」(請注意:是直接裁罰,不需先命限期改善)2萬元~200萬元以下的罰鍰,且之後如仍未改正者,還能按次罰15萬元~1,500萬元以下罰鍰,甚至情節嚴重者,一開始就可以直接處以15萬元~1,500萬元以下罰鍰(個資法§27II、III)。由於這些規範密度愈來愈高,請各企業務必注意所處業態有無對應規範。
三、 我的產業還沒有被訂定個資管理辦法,是不是就不用擔心了呢?
企業對於所保有的個資應盡力保護,這是基本義務,在個資法第27條第1項已有明文:「企業保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」,因此,即便沒有直接的個資管理規範,企業必須從組織、人事、物及環境等面向妥善保護個資(詳細作法可參個資法施行細則第12條內容)。主管機關如認為不符合,一樣會適用到前述的裁罰規定。這時候,有些企業主會接著往下問:「但我公司沒有個資事故,政府怎麼會發現我沒有做個資管理呢?」請注意,個資法有規定主管機關有權對於企業行政檢查(個資法§22),作法基本上會從個資法規定逐步檢視企業是否有落實。甚至比較麻煩的是,就筆者對於近期案件的觀察,以目前行政檢查實務強度,恐怕已不是單純詢問有無制度,還必須要檢附執行記錄,舉例來說,「認知宣導及教育訓練」是個資法和各管理辦法都有要求的,但行政檢查時,公司除了提出教育訓練的政策,也多會被要求檢附執行記錄(像是教育訓練簡報、人員課程簽到表、課後評量結果等),如果無法符合,則都可能會有被認定違法的風險,更不用說如果有發生個資事故的情況了。
四、 即使有發生個資事故,業者可否只抗辯「相關事證無法認定是從本公司外洩的」就免除法律責任呢?
嚴格來說,前述個資法第27條1項條文規定,確實是發生個資事故時要去認定是否為企業所導致,以認定企業是否沒有做到適當安全維護措施。但於實務上,其實還是會從個案所外洩的個資內容來認定,如果所洩資料內容詳細(像是會員主檔資料外、還有相關消費紀錄、使用紀錄、金流紀錄等),難以想像能從其他管道所取得,反而就是企業要為相關說明及解釋,此時如果仍採消極抗辯的態度(例如抗辯未保留log紀錄,無法查出外洩源),加上確實沒有相關管理制度的建置及執行,仍可能被認為未盡保護義務,可參院臺訴字第1050184074號(民國105年12月09日)函所述:「非公務機關有防止個資外洩之行政法上義務。個資法第27條第1項明定非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,非公務機關若未採取適當之安全措施,即對於違反行政法上義務事實之發生,依法有防止之義務,能防止而不防止。」
五、 補充:個資管理的黑洞:業務「外包」的風險
企業將業務以專業分工及外包的作法常見,但個資風險也因此而增加,個資法對於個資委託的行為認定相當廣泛,像是會員APP開發及維運、資料庫代管都是常見型態,然而,不少公司對此有幾個錯誤的迷思,這裡一併說明。
(一)個資外洩如果從外包商管道所外洩,那就是外包商的責任,與業主無關?對此,個資法第4條已經明文:受企業委託蒐集、處理或利用個人資料者,在個資法適用範圍內,視同委託機關。企業可不能以此甩鍋,必須進一步來看是否有完善委外的「監督管理」。
(二)所謂委外的監督管理是否簽了保密協議就沒問題了?這也是常見的誤區。對此,個資法施行細則第8條,已清楚說明委託者(業主)應對受託者為適當監督(像是約定合作範圍、合作結束後的資料刪除義務等),並且應定期確認受託者執行之狀況,並將確認結果記錄。因此只以「保密協議」的簽署是絕對無法符合個資法的要求的,甚至,以筆者經驗,主管機關做行政檢查時,也會要求企業必須提供相關監督紀錄(不論是自我稽核表、實地查核)作為管理的證明。
六、 在個資保護的今日,大家都動起來了
事實上,因應近年來的詐騙風波及個資風暴,政府已有這些對應動作,甚至個資法的主管機關「個人資料保護委員會」,其「個人資料保護委員會籌備處辦事細則」、「個人資料保護委員會籌備處暫行組織規程」也已經在今年9月發布,可以想見的是,企業過往被動看待個資保護的態度,風險將會愈來愈高,甚至當同業都在逐步建置及落實管理制度的同時,將個資妥善管理好,也是同步於業界標準,對外亦有助於企業的商譽,最後,本文所講的管理制度執行,絕對不是要企業無上限地投入成本,而是配合企業本身規模配置對應資源,再隨著制度的運作及執行,逐漸予以優化(PDCA理論),個資事故風險無法完全預防,但上述執行的紀錄,確實有效能降低相關事故發生後被追究責任(民事、刑事、行政責任)的可能性,個資保護這堂課,已經是企業主的必修學分了。