「個人資料保護法」修正案於民國99年5月26日由總統公告,詳盡規範企業對個人資料之蒐集、處理與利用等行為,當發生侵害當事人權利之事件時,若企業無法證明無故意或過失者,最高損害賠償金額可達2億元,且若企業之代表人、管理人或其他有代表權人無法證明已盡防止義務者,亦須接受罰鍰之處罰。

 此外,保護對象不再限於經電腦處理之個人資料,人工資料(如紙本表單)也納入保護範圍。

 還有刪除「行業別」之限制,任何自然人、法人或團體,除因公開場所、活動或單純個人、家庭活動之目的使用個人資料外,皆須受新法規範,許多新興產業(如電子商務)將面臨遵法性之衝擊。

 以往當侵害當事人權利事件發生時,需由當事人提出企業違法之有力證據,惟新法第29條要求企業必須舉證說明無過失或無故意違反法律,所以各種告知義務、取得當事人同意、回應當事人請求與企業個人資料安全控管等行為,企業都必須留存完整證據(紀錄),作為事後舉證之用。

 企業應建立一套完善的個人資料管理制度,從「組織」、「流程」與「資訊科技」3個層面,從企業策略面著手,定位組織管理與運作,透過業務流程與資訊系統的分析,檢視個人資料取得、處理、傳遞、儲存、封存與銷毀等過程的循環,確認保護標的位置、存取與控管情況,同時精簡非業務所需個人資料,降低企業管控成本。

 再來,需瞭解相關法令、契約與管理規範,對企業個人資料保護的衝擊程度,依據產業特性、組織文化與企業的資源、時程之相互關連性,規劃最適之解決方案。

 另據新法第4條說明,企業委託機構如發生個資外洩,也須負相關連帶責任,故藍圖除了應包含企業內部治理作為,更須注意對委託機構的管理。企業亦應制訂定期監視與審查機制,確保制度設計的可行性與落實的有效性。

 企業在建立個人資料管理制度時,不妨參考英國國家標準局(BSI)2009年6月公布的「BS 10012:2009」(個人資料保護標準),提供個人資料保護基礎架構,配合PDCA(Plan-Do-Check-Act)的系統化管理方法,建立制度以達到保護個人資料的目的。

 新法第4章對損害賠償與團體訴訟作了詳盡規範,可想見未來企業處理個人資料相關訴訟案件必日漸增多,因應重點如下:

 1.舉證責任倒置原則

 新法採取「舉證責任倒置原則」,若企業被指控涉嫌個人資料外洩,則必須負舉證責任,否則將面臨高額的賠償金與刑事責任。

 惟法諺有云:「舉證之所在,敗訴之所在」企業除應配合新法留存完整證據(紀錄)自保,採集證據的過程亦須符合蒐證程序,提出具有「證據能力」之紀錄,作為法官心證形成的證據。

 2.證明無故意或過失之訟訴策略擬定

 目前沒有一套作法可證明無故意或過失,惟企業可參照新法第27條第1項「非公務機關保有個人資料檔案者,應採行適當安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」及第2項「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」之要件進行訟訴策略擬定,即訂定「個人資料檔案安全維護計畫」,並有能力證明企業已盡善良管理責任。

 縱使不幸發生個人資料外洩事件,亦可以主張已依當前安全防護技術水平及落實內部個人資料管理維護而免責。

 另企業不論是各種告知義務之紀錄、當事人同意之紀錄、國際傳輸活動之紀錄、資料異動之紀錄、回應當事人請求紀錄、授權軌跡及安控措施有效執行與運作紀錄等,都應依循數位證據監管鏈原則,進行證據蒐集、分析及保存數位證據,確保數位證據之完整性及一致性,而能作為事後舉證之用。

 法務部預計於1年內完成「個人資料保護法施行細則」訂定與審核程序,屆時由行政院同步發布施行日期,企業最快於1年後面臨衝擊!

 對於仰賴個人資料提供服務之產業(如金融、電信、電子商務、醫療、遊戲與百貨業),個人資料保護實為組織整體應共同擔負之責任,應以蒐集、處理與利用個人資料相關單位為標的,執行個人資料保護分析、強化與管理作業,並建立管理制度、數位鑑識與犯罪舞弊之管理能量,達到法規遵循性,並符合民眾對企業保護個人資料責任之期望。(本文作者為勤業眾信管理顧問公司副總經理)