個資法新聞-「建立民事損害賠償因子 讓企業保護個資有參考標準」
2011-11-29
「達文西個資暨高科技法律事務所律師郭詠晴指出,根據新版個資法規範,構成民事賠償要件的範圍,遠比一般人想像的更廣,不單單只是個資外洩而已,包括違法蒐集、應告知未告知、應通知未通知、逾期保存或利用個資、未依照當事人請求更正或刪除個資…等,都可能符合構成要件。再加上新法要求企業自負舉證責任、團體訴訟成本低等因素影響,未來企業面對的法規遵循風險相當高。
因此,郭詠晴提出架構民事損害賠償因子的建議,一方面做為企業落實個資保護的具體標準,一方面也可做為法官審理此類案件時的量刑標準。共分成以下10點,主要參考施行細則第九條所訂的11項安全維護措施而來:
- 管理組織及資源配置
- 個人資料範圍
- 風險評估機制
- 事故預防通報及應變機制
- 個資內部管理程序
- 資料安全管理及人員管理
- 設備安全管理
- 資料安全稽核機制及記錄
- 個資安全維護計畫之整體持續改善
- 認知宣導及教育訓練
至於企業委外處理個資時,民事損害賠償因子應為下列8點:
- 挑選委外廠商或合作夥伴時,充分考量其資安能力;
- 確認所委託蒐集處理利用之個資範圍、類別、特定目的及期間;
- 確認受託人採取的個資檔案安全維護措施;
- 有複委託者,確認複委託之對象,及其蒐集處理利用之個資範圍、類別、特定目的及期間;
- 受託人或其受僱人違反個資保護法令或委託契約時,是否有向委託人通知之程序及確實通知;
- 委託關係中止或解除時,是否要求受託人返還或銷毀因委託事項交付之個資儲存媒體或紙本,並確認已經刪除;
- 以適當方式確認受託人具體執行前六點程序,並留存相關記錄以供查驗;
- 受託人之事故通報程序是否建立且留存相關記錄。」
節錄自資安人 作者:廖珮君 -11/28/2011
原文網址: 建立民事損害賠償因子 讓企業保護個資有參考標準,Information Security 資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6503#ixzz1f3jzCLEF