深耕實務,輔導企業迎向個資管理新挑戰
(中央社訊息服務20250613 10:09:52)近來資安威脅持續升溫,企業遭駭、個資外洩等事故頻傳,「個人資料」保護的重要性日漸提升,國內法規與實務對於企業蒐集、處理與利用個資的相關要求,也日益嚴格。個資保護已不再是企業經營的附加選項,而是不容忽視的治理責任。
資策會科技法律研究所長年協助企業導入個資管理制度,以期企業實務符合法律規範,甚至通過國際驗證;同時,透過協助企業導入管理制度之多年實務經驗,團隊也觀察到實務執行上的多重挑戰。
從規範到實務:輔導現場揭示四大挑戰
企業主要依循我國「個人資料保護法施行細則(以下簡稱施行細則)」第8條、第12條所列建立管理機制,團隊歸納出四個實務常見議題,彰顯個資保護從意識到具體落實仍有相當挑戰。
一、內部認知不足,制度運作與實際脫節
部分企業雖已建構個資管理制度,惟實務上常見企業因「對個資定義不明確」或「內部人員對個資法令與內部規範熟悉度不足」,導致在新產品或服務上線時,誤認其並未蒐集個資而未及時調整個資告知事項。另亦有同仁因意識不足,導致遭遇個資外洩事故時,未察覺洩漏之資料屬於個資,進而延誤對主管機關踐行通報義務、錯失危機處理良機,增加違規與裁罰風險。
二、個資盤點落實度不足
「個資盤點」即施行細則第12條第2項第2款所稱「界定個人資料之範圍」,係指系統性盤點組織所蒐集、處理、利用之個資檔案,識別個資類別、法令、儲存位置等資訊,也因此個資盤點可謂是推動個資管理制度的基石,定期落實執行更是利於後續風險評估與安全維護措施推展的關鍵。惟實務上常見企業因資源有限、系統功能受限、人員認知不足等情,導致盤點流於形式、與實際作業不符,不僅影響個資管理制度運行,更有違反法令之虞。
三、需建構個資檔案保存期限思維
個資法第11條第3項本文規範企業於個資蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用之。然而,實務常見企業基於消費者行為分析、行銷、憂慮未來訴訟可能等事由,難以明確界定個資之保存年限、逾期刪除情況屢見不鮮。惟為落實法令遵循,企業應調整思維,於進行個資盤點時同步設定保存期限及反思銷毀與刪除機制,建立涵蓋個資檔案「蒐集、處理、利用、刪除」的完整生命週期,避免造成合規缺口。
四、委外監督力道尚待強化
施行細則第8條規定企業應對委託辦理業務而涉及個資之廠商,如資訊服務廠商、行銷公司、商品服務支援廠商等,負起監督管理之責。近期供應鏈資安事件頻傳,若企業疏於監督委外廠商,最終仍需連帶承擔相應的法律責任。然而,實務上除特定產業外,多數企業常因法規認知不足、不願投入監管成本、監管能力不足、高層忽視或公司市場地位落差等因素,造成難以實際監管廠商,亦或未能獲取足夠監管資訊之情形,同樣面臨合規挑戰。
規範制度變革在即,建立個資管理制度只是起點
今(2025)年3月27日,行政院公告「個人資料保護委員會組織法」及個資法部分條文修正草案,昭示獨立、專責的個資保護監理機關將正式成立,亦可預見未來的監理密度將顯著提升、合規標準將趨於一致。當合規標準逐漸提高,法令遵循已成為企業經營的基本要素,具備韌性與反應能力,才是企業真正需要具備的關鍵能力。尤其對企業而言,建立個資管理制度只是起點,唯有持續落實、內部檢核且滾動式調整制度與安全管理措施,將「個資保護」的核心精神昇華為企業文化,才能有效面對與管控市場上不可預知之風險。