資訊爆漲的大時代,有很多的資訊在網路世界穿梭交流,小到包括你我個人資料大到於企業的機密資訊。為了有效保存與控管這些資訊,多數企業會選擇以系統設備來解決儲存與管理之問題,因而使資訊安全變得更加重要。
今天,我們將從業務委外來探討個資保護的問題。個人資料保護法(下稱:個資法)已於101年10月1日上路,由於新法擴大適用範圍及加重罰則之規定,為避免觸法,公務機關與非公務機關無不小心加以因應。在新法施行之初,各界似乎把個人資料之「保護」,不當限縮到「禁止」使用個人資料之程度,例如:法院起訴書為保障當事人隱私權,不顯示當事人之姓名,而直接以○○○代替;還有,榮譽榜上學生之姓名,也不再顯示全名,以張○○代替,這些案例顯然都矯枉過正,而有悖於立法精神。所幸在主管機關的解釋下,上述情形已逐步改善,也使得個人資料當事人與蒐集、處理與利用人間的關係漸漸取得平衡。
現階段專業化及整體成本的考量下,不少企業選擇將非核心業務委由專業公司處理,不可避免的,將產生委外廠商個人資料蒐集、處理與利用之問題。而針對委外蒐集、處理或利用個人資料,多數人都認為委託者之責任與義務,於委託受託者後,個人資料之保護責任,即轉由受託者承受,委託者即可免責。其實不然,依個資法第4條規定:「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。」指的是企業於委託處理業務時,如涉蒐集、處理或利用他人之個人資料,應與受託者同樣受個資法的規範,並不會因業務的委外,而無須負擔法律責任。
以金融業為例,多數金融機構會在其營運成本及策略的考量下,將其系統設備維護業務,委由專業之公司進行。而為了避免重要資訊(包含客戶資訊)外流,常於委外合約或招標文件中明定,禁止企業將承接業務轉包或分包。當然,透過這樣的約定,似可大幅降低個人資料與機密資訊外洩之風險,但在未禁止委外廠商分包之情形下,該如何維護資訊安全將是個重要問題。以下就先來了解個資法所定關於委託機關之監督責任,再來說明如何有效管理委外或分包廠商。
依據個資法施行細則第8條規定,委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督,而監督至少應包含下列事項:
一、預定蒐集、處理或利用個人資料之範圍、類別、及特定目的和期間。
二、受託者應依個人資料安全維護事項採取之措施。
三、有複委託者,所約定之受託者。
四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。
五、委託機關如對受託者有保留指示者,其保留指示之事項。
六、委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。
委託機關並應定期確認受託者執行之狀況,並將確認結果記錄,受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。而受託者如認為委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。藉由以上的規定可得知,立法者已充分考量在委託關係下,委託者與受託者間關於個人資料蒐集、處理或利用,都應負相同之法律責任。然除了監督責任外,依據個資法第27條第1項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」也就是說,委託者與受託者除有適當的監督責任外,對於所保有之個人資料,亦應負擔管理責任。所以,委外個資保護,除了委託者必須善盡其選任及監督管理之責外,受託者也應依個資法要求訂定相關安全維護辦法,以符合法律規定。
委外個資保護無疑是資訊安全中重要的一環,如何改善營運流程或資料處理流程,以符合個資法規定,為當前企業應積極重視的議題。在此一前提下,企業應與委外或分包廠商簽訂何種合約或者做成何種約定,以避免個人資料外洩而負擔法律責任?
以下提出可行之建議:
一、在合約中明訂稽核條款,透過稽核評估的方式,隨時監督管理委外或分包廠商,以確認其確實遵法執行業務;
二、在雙方合約中,對於違反個資保護之行為增訂罰則(如:懲罰性違約金),使委外或分包廠商了解違反法律規定,除須負擔法律責任外,也必須承擔違約金;
三、訂立保密合約,在合約中訂明個資保護條款。
簡而言之,就是要使委外與分包廠商負擔企業個資法上之法律責任。最後,個資法之立法目的,絕非是要禁止個人資料之蒐集、處理或利用,而是為了建立更周延的程序,給予個人資料當事人人格權與隱私權更大的尊重與保護,千萬別把個資法無限上綱,破壞了立法者對於人格權與隱私權保護之美意。