新版个资法预计10月1日正式上路,许多企业在规划因应措施的同时,首当其冲的问题就是,如何搞懂个资法规范?BSI总经理蒲树盛在日前举办的BSI年会上指出,个资法的许多规范虽然不同于以往,但它其实不难理解,主要重点在于针对3个行为模式做出规范,换句话说,就是规范个资的搜集、处理、利用3种行为。
在搜集端要注意的是,要做到告知当事人、符合特定目的、及取得当事人同意,而个资处理须符合的行为规范,则是施行细则草案里的11项安全维护措施,确保个资在处理过程中的安全性,至于个资利用要注意的则是不能逾越特定目的。此外,在损害赔偿规范上则有2种情形,第一种是个资外泄或其他事件,造成当事人权益受损所应担负的赔偿责任,第二种则是不符合主管机关稽核检查要求可能担负的罚责。
此外,若个资外泄已成事实,一定要立即告知当事人,告知的内容必须包含2个重点:个资被侵害的事实、企业的处理方式,告知速度不仅要即时,且要确实寄达当事人,如此才能将伤害降到最低。
蒲树盛强调,个资法虽然有很多原则,但例外情况更多,所以很多状况不能绝对地说是违反法规,举例来说,学校将毕业学生的个人资料交给104人力银行去媒合工作,此行为是否违法?如果在学生手册里就能注明此状况,就不算违反个资法。因此,企业面对个资法不必过于恐慌,只要掌握以上几个原则,就能妥善因应个资法。