[其他]PIMS 2012研討會心得筆記
紀錄一下之前去的研討會內容
個資法架構圖
資訊安全架構圖
BS10012與ISO27001之關連
BS10012(PIMS) V.S 國內個人資料保護法
個資法修正的重要立法意旨
擴大保護客體
加入人工處理及增加類型資料,解決以往資料外洩只要非電腦(或
自動化設備)處理,即不適用之現象,且納入直接與間接識別資料
廣泛適用主體
刪除行業別之限制,自然人、法人、公私機構一體適用,解決以往
只有列入受管理的政府機關與少數民間產業的不合理情況
增修行為規範
限制蒐集特種資料、規範書面同意方式、增課告知義務(4項資料
的權利與正確性及外洩之告知)、放寬查詢權利、限制任意行銷,
不遵守行為規範的行政裁罰
強化行政監督
中央目的事業主管機關或地方政府得強制檢查、處分或處罰解決因
為普遍適用主體後,管制單位的模糊,並將資料保護的查察措施,
擴及非司法警察機構
促進民眾參與
建立團體訴訟機制,對於管理與求償或資料保護實務的進展,納入
民間監督與求償,期待提高全民重視與普及
責任內涵提高
加重刑事責任及擴大適用範圍、提高民事損害賠償總額限制、提高
行政罰緩並課負責人(代表人、管理人)監督責任, 舉證責任倒置
個資資料當事人擁有之權利
1. 查詢或請求閱覽
2. 請求補充或更正
3. 請求製給複製本
4. 請求停止蒐集、處理或利用
5. 請求刪除
非公務機關對個資之蒐集、處理
非公務機關對個人資料之蒐集或處理,除特種資料外,應
有特定目的,並符合下列情形之一:
- 法律明文規定
- 與當事人有契約或類似契約之關係
- 當事人自行公開或其他已合法公開之個人資料
- 學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供
者處理後或蒐集者依其揭露方式無從識別特定之當事人
- 經當事人書面同意
- 與公共利益有關
- 個人資料取自於一般可得之來源
‧ 但當事人對該資料之禁止處理或利用,顯有更值得保護之
重大利益者,不在此限
非公務機關對個資之利用
非公務機關對個人資料之利用,除特種資料外,應於蒐集之特
定目的必要範圍內為之
‧ 有下列情形之一者,得為特定目的外之利用:
- 法律明文規定
- 為增進公共利益
- 為免除當事人之生命、身體、自由或財產上之危險
- 為防止他人權益之重大危害
- 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資
料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人
- 經當事人書面同意
‧ 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕
接受行銷時,應即停止利用其個人資料行銷。
‧ 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之
方式,並支付所需費用
個資法的專人保管及安全措施規定
‧公務機關部分:
- 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人
資料被竊取、竄改、毀損、滅失或洩漏 18
‧ 非公務機關部分:
- 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料
被竊取、竄改、毀損、滅失或洩漏
- 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫
或業務終止後個人資料處理方法
- 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關
定之 27
建置個人資訊管理系統(Personal Information Management System)的步驟
1. 釐清個資法要求與營業目的
組織擁有哪些資料是符合個資法定義的個人資料?
基於營業目的上,組織所蒐集、處理、利用的個人資料檔案是否符合適當目的?
個資法的要求上,組織需要符合哪些行為規範?
2. 決定負責單位或成立專責組織
有限的時間內,如何決定高層管理主管及負責單位?
如何決定責任的分工?
如何凝定通盤計畫,並設定各階段的時間表?
如何安排並投入適當資源?
如何追蹤推行成果及效益?
3. 投入教育訓練建立適當觀念
法令法規遵循:如何讓全體員工具備自我要求之自律能力?
組織內部程序:如何確保擬定之標準執行方式能有效實施?
個資保護技能:如何鑑別並培植執行專業技能所需要之能力與技術?
4. 盤清個人資料檔案及管理風險
如何鑑別組織所蒐集、處理利用的個人資料檔案?
Ø 清點的方式:流程分析?工具?
Ø 如何確保個人資料檔案清冊的完整性和產生實際效益?
如何鑑別存在的風險?
如何決定處理的急迫性?
5. 適當告知以取得合法個資
直接蒐集
Ø 當事人已被適當告知?
Ø 隱私權公告內容容易閱讀?
Ø 隱私權公告內容符合目的?
間接蒐集:個資法實施後對間接蒐集的要求?
留存經當事人同意之紀錄?
6. 因應當事人主張權利之處理
針對個資法第三條,未來當事人本人或委託他人行使其權利之執行流程?
7. 個人資訊的內部安全控管
組織既有資訊安全的要求是否能涵蓋到所有部門?
對資訊安全要求是否能夠有效實施?
新技術和工具對個人資料檔案的安全維護效果?
8. 有效管理第三方委外活動
如何在委託第三方前執行必要管理?
於委託過程中有效管理第三方委外廠商?
委託結束後如何確保委外條月的終止?
9. 損及當事人權益時的通報
如何決定通報時機?
如何決定通報對象?
如何擬定通報內容?
以何種方式通報當事人?
10. 證據保存及管理
需要哪些日誌記錄做為證據?
如何保護稽核日誌記錄?
如何分析稽核日誌記錄?
如何維持日誌的證據力?
11. 定期追蹤確認法令遵循狀態
個資法法令遵循自行檢查
內部稽核
管理審查
定期檢討、維護
12. 個資保護成為企業文化之一
持續進行教育和意識提升
評估個資遵循要求的有效性
定期檢視個資管理目標的達成狀態
確保人員知道違反的結果