個資新法倒數計時 個資生命週期不可不知

文 - Vita

個資法最快今年七月即將正式施行,故企業準備的時間只剩下不到五個月,時間相當緊迫,但不少單位都還是保持觀望的態度。日本已實行個資法多年,就日本個資法實施的結果來看,若企業發生一次個資外洩所造成的損失平均約新台幣 2,000 萬 ~ 5,000 萬,對企業單位與公務機關的衝擊實不容小覷!

個資法完整的解決方案須包含政策(Policy)、程序(Procedure)與技術(Technology)三個面向,就實務面來說,現行針對個資法的解決方案均較片段,不僅欠缺導入顧問,即便有少數顧問亦不熟悉相關技術;亦沒有一項產品可完全滿足個資法實施生命週期的需求。

資通電腦與台灣隱私權協會合作,經營個資法實施的生命步驟,協助客戶建立個資法規劃,並進而協助客戶建立一體適用的保護機制,將顧問、程序、技術三者緊密結合,進而達到免責的目的。

我們以簡單的「就診」為例,說明個資法實施生命週期六大步驟。

  • 門診階段:就單位或系統進行個資法適法性調查
    1. 依據行政處罰、刑事處罰、損害賠償、是否具有特定目的、是否有國際傳輸限制及活用個資法達到促進個人資料的合理利用。
    2. 建立適法性分析。
  • 檢驗階段:建立個人資料檔案清查
    1. 個人資料檔案清查:清查資料類別包括網頁、資料庫、電子檔案、紙本及備份資料,此部分可藉由個資清查工具將個資找出。
    2. 建立個資盤點表、實體資料流程圖及功能資料流程圖等。
  • 住院階段:
    1. 擬定個資保護策略:以個人資料最小化為原則,確保防止訴訟成立,並降低損害賠償。
    2. 隱私權衝擊評鑑:個資數量(儲存筆數/處理筆數/欄位數)、保存期限、系統安全計畫分析、確認個資正確性等。
    3. 發展個資保護政策與程序:協助制訂「個人資料檔案安全維護規定(計畫)」,建立適當安全維護措施。
    4. 告知文件:明確告知當事人之事項。
    5. 確認是否符合個資法「等同書面同意文件」
    6. 發展認知、訓練及教育訓練計畫。
  • 手術階段:與技術工具整合導入,做到單位可以免責之目標。
    1. 個資法舉證技巧:個資法實行前後之個資舉證要件
    2. 符合「書面同意」的要件技巧。
    3. 如何進行「補行告知」程序。
    4. 停止蒐集、處理、利用之管制措施。
    5. 特定隱私保護措施。
    6. 安全控制措施:應用資通電腦的技術服務提供「資料庫加密及去識別化技術(Crypto Server/uPKI)」、「身份識別技術(ARES uIAM)」、DRM、資料庫稽核等,並配合安控程序。
  • 復健階段:
    1. 軌跡資料留存規劃
    2. 舉證資料之責任
    3. 稽核與可歸責性:包括稽核監控、分析及報告等事項
  • 養生階段:乃個資生命週期最末端,訂定營運持續計畫(CP)。

聯絡窗口:資通電腦 廖婉孜 產品經理 25221351#705 vita@ares.com.tw
(資料來源:資深資安顧問 鍾榮翰)

>> 回電子報首頁

推Plurk