《個人資料保護-2》

 

2023.02.21

 

《個人資料保護-2》

 

＊最近看到新聞報導iRent用戶資料外洩，任何人只要有IP不用輸入密碼就可以隨意查看用戶，前幾天有機會去一間驗證公司簡介個資法的相關規範，當時也有提到企業要如何管控個資的相關小建議。

 

想起大學時在麥當勞打工，他們把員工的資料統表丟散在桌上，資料的內容包含姓名、住家地址、手機、出生年月日等資料，有一位員工突然對著我背出我家地址，甚至問我為何把機車停在離家很遠的地方，真的瞬間毛骨悚然，他還默背我的車牌號碼，當時只覺得這樣的行為很怪也有點小生氣，但完全沒有權利爭取意識，還好後續沒有其他事情發生(希望之後也不要發生)，而且這樣將員工資料讓大家閱讀很不符合個資保管規範，希望他後續有改善。

 

＊在個資保護上除了一開始蒐集取得時需要當事人的同意外，在後續的保管也是相當重要，在個人資料保護法第27條規定，企業應採取適當安全措施保管個人資料，防止資料遭竊取、竄改、毀損、滅失或洩漏。有關iRent的保管責任，雖然不是由iRent自己運輸旅客，但依據汽車運輸管理規則第2條規定中，汽車運輸業包含以小客車租與他人自行使用之營業者，故其依據交通部頒布的「汽車運輸業個人資料檔案安全維護計畫及處理辦法」，要求其應「規劃、訂定、修正與執行消費者個人資料檔案安全維護計畫」之義務，以妥善保管個人資料，若違反則可依個資法第48條規定處新臺幣2萬元至20萬元之罰鍰。若因故意或過失造成他人權利受損，亦須負民事損害賠償責任。

 

＊故企業中有關個資管理的作為和對策，在安全技術面上應設置防火牆、實體隔離、防毒軟體、滲透測試、檔案加密、刪除、銷燬等，在蒐集、處理、利用個資的流程中應確保隱私，將資料遮罩或去識別化以最小化蒐集原則進行。

  

最重要的第一步就是做個資盤點，個資盤點涵蓋全公司的業務流程，且是具有持續性，有許多企業會利用BIF轉為PIF，亦即先繪製某一業務之生命週期圖，確認個資流程相關的組織，市面上也有一些軟體，可以自動將個資轉換為個資清冊，就可以清楚那些環節會有甚麼樣的個資，接觸的人會是誰，清楚界定業務流程與個資流向。

 

P.S但我對個資保管也是紙非常粗糙的了解~~但個資保管很重要就是了。