作者:洪偉淦 趨勢科技台灣暨香港區總經理
新版個資法對於企業蒐集、處理、利用、停止利用以及刪除個人資料之歷程,不僅都有嚴格規範,而且制定嚴厲罰則,對企業肯定是巨大挑戰。
眾所矚目的新版個人資料保護法,總算在今年10月1日正式施行。就條文來看,新版個資法對於企業蒐集、處理、利用、停止利用以及刪除個人資料之歷程,不僅都有嚴格規範,而且制定嚴厲罰則,對企業肯定是巨大挑戰。
按理說,企業一路「觀望」了兩年多,早該基於個資防護做好充分準備;但實則不然,特別是中小企業,迄今仍有許多人還抱持觀望態度,他們寧可「賭」自己不會這麼倒楣,凡事等到第一個違法判例成立再說。
持平而論,這些毫無動靜的企業,未必不遵循法規,說穿了就是因為「無所適從」。以往國人保護個資觀念堪稱薄弱,對於個資的蒐集與使用,總認為理所當然、無傷大雅,如今面對千頭萬緒的法條,還真不知該如何下手;再者,幾乎所有資訊安全廠商,都說自家產品可以防護個資,而且個個要價不菲,企業無力消化繁複的產品資訊,更難以負擔高昂的購置成本,所以索性按兵不動。
這群企業的苦衷,固然情有可原,但世事難測,面對最高可達兩億元的賠償金額,更是不可承受之重,因此絕不宜兩手空空賭運氣。企業必須先有一個觀念,要100%杜絕個資外洩,那是不可能的,但最起碼需要盡到良善保管的責任,所以當務之急,即是趕緊從法律條文中找出關鍵點,再配合資訊技術加以落實,才是明哲保身之道。
最值得企業謹記在心的法律關鍵點為何?無非就是設備安全、資料安全稽核、使用資料的軌跡記錄,為了迎合這些關鍵需求,企業必須做到三件事。第一,建立內容過濾機制,針對所有從PC或伺服器等設備向外傳送的資料,逐一加以監控,辨識其內容是否挾帶個資;不可諱言,傳送個資的行為,有些是出自商業行為,未必個個都是蓄意外洩,但倘若個資數量達到一定筆數,或即將觸及企業的規範底線,就需要加以警示、甚至攔阻,一來可以提醒無心人,二來更可遏阻有心人。 繼續閱讀
