業務永續經營管理(Business Continuity Management, BCM)是各類機關必須要有的一套機制,內容不外乎是當機關面臨某些不論是否為意料中之意外時(美國911恐怖攻擊事件在過去應該不是一種常被預測到的營運風險,但現在應該是各機關優先被考量的風險項目之一),機關該怎能作,才能在最短時間內,讓機關回復正常運作的一套機制。這中間包括各種風險之評估以及務實之演練。而個資事件也是其中一種營運風險,只是發生時影響的範圍可能會擴及組織外部之客戶或人員,但其對機關不論是有形還是無形之傷害都是一樣的。
8 機關本身對個資事故之預防:個資法施行細則規範之11項必要措施
個人資料與設備之安全管理除了仰賴各種軟硬體工具協助外,最重要的是人員的安全管理。所謂『人員安全管理』是要求人員該如何合法合理接觸個人資料檔案,因為個人資料檔案安全的最大威脅如同機關之各種機敏性資料,『人』才是會讓個人資料檔案陷於危險之最關鍵因素。
上傳到FB的照片最好是不要標示其他人,不然哪天被標示的人反告時,就不能用個資法第51條來開脫,因為個資法說僅有照片不打緊,但不能結合其他的個人資料,解否?
不過,即便沒標示名字也不代表就沒事,因為如果一起拍照的人沒有同意你公開照片(理論上這種情況不多),雖不能用個資法,但可以用違反肖像權法,大家多注意。
完成個人資料檔案衝擊暨風險分析後,機關所有個人資料檔案管理之基礎已全部完備,此時要進行的關鍵作業即是將各類個人資料檔案該如何被管理、各類風險該如何被處理、機關所有與個人資料相關之營運流程是否該調整、以及人員該如何合法接觸個人資料檔案、...等,都必須一一訂出規範,以建立個人資料管理暨保護機制。
完成所有機關內個人資料作業程序以及個人資料檔案之盤點後,要想制定出管理與保護機制,就必須了解這些與個人資料作業程序以及個人資料檔案所存在之環境有哪些弱點,凡威脅皆是利用弱點,而風險就是這些威脅發生的機率。
個資盤點最重要是找出機關內所有存在的個人資料,不論個人資料是以什麼形式存在。經過訓練之員工可以在一致的盤點手法下,對機關之營運流程、過程所接觸之個人資料、個人資料之型態與內容、接觸之人員、以及這些個人資料現在是如何被管理等進行盤點。
經過適法性調查,組織應該可以充份了解,到底有哪些法律保障自己組織內個人資料之蒐集、處理與利用。但這些還不夠,因為法律只是一個法條,但我們要解決的,是個人資料中到底哪些個人資料類別(姓名、電話、...)受法律規範,哪些沒有。所以,在界定個人資料之範圍中,就是要明確找出哪些個人資料類別有法律保障,哪些沒有。那些有被保障的,大致上就可以不用告知或取得書面同意,而哪些未被保障的,組織除了要自己找適用的例外狀況,再不然就得對當事人進行告知。
有了專人負責個人資料管理業務後,下一個必要進行之步驟是機關個人資料『適法性分析』。所謂『適法性分析』簡單來說,就是依據機關所被賦予之職權或應盡之義務中,到底可以『合法』接觸個人資料到什麼地步。這是一個準備動作,用意是為了後續在開始制定個人資料管理機制時,可以省略這些已經法定授予的權利,專心去處理非法定授權的個人資料。當然,這就要機關個業務負責人自己進行,也只有業務負責人才知道該項業務受哪些法令規範,例如:勞動基準法。後續在完成實際個資盤點後,兩相比對,即可找出兩者之差異,機關再專注在差異部分即可,而已符合的部分可以用機關內部的管理辦法進行約束,並透過定期稽核,保證被授權使用之個人資料可以繼續合法使用。
此處需找出該產業所適用之法律,例如:『戰略性高科技貨品輸出入管理辦法』、『電子簽章法』、...等,以及一般通用之法律,例如:『勞動基準法』、『公司法』、...。此處所列,須是機關為執行法定職務或履行法定義務之法律,也就未來在處理個資時,凡適用這些法律的,就勿需再進行告知、取得同意、...等作業。
|
項次 |
作業說明 |
