委託外包才是个资外洩的最大原因!请各位电商、创业者千万注意保

 

委託外包才是个资外洩的最大原因!请各位电商、创业者千万注意保

2017 年 6 月 20 日,媒体惊报美国共和党阵营的资料承包商让约 1 亿 9800 万美国人的个资曝光,几乎涵盖所有合格登记的美国选民;而同年 12 月 8 日,监察院针对台北市政府提案纠正,报告中指出北市府「智慧支付平台 pay.taipei」及「单一陈情系统 Hello Taipei」资安事件,係未能完善监督委外厂商所致等内容。

此二则新闻在在显示出就连政府机关皆未能善尽对委外厂商个人资料保护与管理之责,罔论民间企业该如何才能做好,这个资保护最软的一块。

我国个人资料保护法的要求:

依我国个人资料保护法第 4 条规定,受委託执行蒐集、处理或利用个人资料的法人、团体或自然人,于本法适用範围内,视同委託机关,而个资法施行细则第 8 条则明订了委託之公务或非公务机关,应善尽对受託者之监督义务。

由此可看出,个资法明确的要求委託机关,从以往只重结果,不问过程的管理方式,转变为要求应对受託机关于执行委託业务时的过程,一併纳入监督管理的範围。但是,代誌真的有如憨人想的这幺简单吗?就让我们继续看下去⋯⋯

委外监督管理实际碰到的困境:

一、      Bargain power 的落差:

商场如战场,在战场上,我的兵力比较强,我讲话就是比较大声,也可以驾飞机绕你国家一圈,你连吭都不敢吭一声。同样的在商场上,很多委託机关,往往就因为经济实力未必能同委外厂商雄厚,在执行监督管理时屡屡碰壁,甚至被呛声威胁请其另觅合作业者的亦不在少数,只因委外厂商「不缺你这张单」,也因此产生了委託机关心有余而力不足的情形。

二、      实际落实监督管理的不易:

《尚书‧说命》:「非知之艰,行之惟艰」中所言之「知易行难」,于委外监督管理时亦有相同情形,儘管施行细则第 8 条中洋洋洒洒写下委託机关应对受託机关进行至少六项主要监督事项,并应将监督结果纪录之,但具体落实的方式为何,除了资源较丰之大型企业可将内部人员派训,甚至是敦聘管理顾问,以有效建置委外监督管理程序之外,针对佔我国 97% 强的中小企业而言,究竟该怎幺做、如何做?都是一个未解之难题。

三、      各行业间因主管机关不同导致个资保护落实程度不一:

假设今天有一家电商业者,在营运公司的过程中,最常涉及个资委外情形有二,一者可能会将网站、APP 等服务,委由资服业者建置、管理,二者则于商品出货寄送时,会将寄送工作委由宅配业者执行。

于此,电商业者与资服业者之主管机关同为经济部,经济部针对电商业者订定「网际网路零售业及网际网路零售平台业个人资料档案安全维护计画及业务终止后个人资料处理作业办法」,而对资服业者订定「製造业及技术服务业个人资料档案安全维护计画」。

宅配业者则属汽车货运业,主管机关乃为交通部,惟自 2015 年 2 月 10 日行政院「消费者个资外洩事件处理机制」研商会议中,决议各中央目的事业主管机关应针对辖下所有重点事业,依个资法第 27 条第 3 项订定相关办法迄今,已 2 年有余,亦不见交通部对此大量处理消费者个人资料之业别规划管制,并提供必要之规範办法以兹遵循,也因此会发生儘管电商业者想要积极落实个资保护与管理,但实际上与其执行业务密不可分之宅配业者,却无法被有效监督管理,或是不知该如何落实个资保护管理作为的情形。

让委外监督管理硬起来的方法:

一、      培养消费者、委託及受託机关对于委外监督管理之认知:

摒弃过往以价格为服务选择考量之首要因素,纳入个资保护管理能力之评估,消费者应主动积极选择能妥善保护自己个人资料的厂商进行消费,进而带动厂商体悟「个资保护等于商誉,商誉等于商机,故个资保护等于商机」的想法,再进而加强对受託机关的监督管理作为,而受託机关如亦能有此体认,将自身个资保护能力作为拓展业务之卖点,如此想必能积极带动整体个资保护风潮。

二、      主管机关订立配套子法,并提供必要资源协助:

虽近期针对我国国内个资保护专责机构设置之讨论此起彼落,但各目的事业主管机关善尽监督管理之任务,亦属责无旁贷,故各主管机关应整体评估具备个资保护高风险之辖下事业,明订个资保护安全维护计画及业务终止后处理办法,以明确供其遵循。于此同时,为使事业得有明确参考之资料,主管机关亦应针对业者之特性,拟订具体之作业準则、法遵文件等範本,供其参考遵循,以期如实完成之事业得有相类似之个资保护水平。

三、      建置管理制度网络,形成整体个资保护规模:

透过主管机关规範制定及资源之提供,委託及受託机关间,亦可透过企业自律、契约规定等要求,共同组成个资保护网,如国内两大便利商店龙头,皆有与其仓储物流或资讯服务业者共同通过个资保护与管理验证制度,以完善落实整体个资保护责任。

个人资料保护法自 2012 年施行以来,虽然就政府及企业的个资保护与管理,仍有许多进步空间,但善尽个资保护之义务,也不能将责任完全加诸于主管机关。反之, 应透过消费者、业者以及主管机关三方之共同努力 ,一同将个资保护与管理从单点连成线,再从线段串连成面,而 成为个资保护与管理牢不可破之保护网,(个资)保密防谍,人人有责 !

上一篇: 下一篇: