· 2010-06-04 工商時報 【記者張國仁/台北報導】
今年5月26日總統公布新修「個人資料保護法」後,保護個資進入新紀元,企業在蒐集與運用個資上稍有不慎,將面臨團體訴訟與驚人的賠償金,特別是經常處理大量個資的行業,例如金融、保險、證券,甚至公務機關如台電等,都應該建立一套個資保護機制,降低觸法風險。
安永會計事務所執行副總邱啟華昨天指出,多數企業主都知道個資新法已經上路,單一原因事件造成個人資料外洩而造成損害賠償上限提高到兩億元,因此需要加強保護個人資料安全。
但最令人恐慌的是,企業集團內的「個資」到底在那裡?如果不知道在哪,又如何去加強保護與管理,以使集團免於曝露在個資外洩的高度風險中?
邱啟華日前與某金控公司負責人討論到個資新法時,該金控負責人一臉無奈與擔憂。他表示,許多企業集團內部設有資料管理中心(CIO),實際的運作卻是在做資訊技術管理中心(CTO)資訊安全管理的工作。
邱啟華強調,企業違反個資法的處罰,不論是在民事或行政處分上都大幅提高,面對如此嚴重的可能後果,企業集團需要調整對CIO的認知與作法,旗下子公司眾多,萬一發生掛一漏萬的事件,商譽的損失將無法彌補。
舉例來說,某金控公司旗下的銀行向消費者行銷信用卡業務,該消費者在取得信用卡後不久,卻將卡片剪掉不再使用,但該金控旗下的證券、保險,甚至網路購物等關係企業卻都取得該消費者的個資。問題是,該消費者在主動剪掉卡片,並通知銀行不同意再使用他的個資後,該金控目前有辦法將所屬旗下各關係企業這名消費者的個資清除嗎?如果沒有經該消費者同意而使用,進行其他業務的行銷而觸法,風險實在太大。
安永企業管理公司資深經理李永強表示,違反個資新法的嚴重性比舊法大幅提高。因為新法不再以經電腦處理的個資為限,新法擴大保護的客體,不僅非公務機關不再受限於舊法所指8類行業,甚至在我國領域外侵犯個資一樣要受法律處罰。
安永會計師事務所諮詢服務部經理陳冠宇則說,企業對個資的管理不能停留在資安控管,公司治理的內部管控就該重新調整。
例如,集團必須從一筆個資進入關係企業的任一公司或部門,就需要將此個資列入管理,企業要從頭進行流程評估、技術審查、符合性分析、安全改善行動計畫,甚而對員工提供隱私權教育訓練等進行全程管理。
留言列表
