過去企業在建置個資保護制度時,常面臨「多頭馬車」的困擾。製造業歸經濟部管、網購歸數位部管,各部會訂定的「個人資料檔案安全維護計畫」標準不一,讓跨業經營的企業無所適從。
隨著新法修正,個資會預告「個人資料檔案安全維護管理辦法」草案(下稱安維辦法草案),這將是一部適用於所有公務機關與非公務機關的「共通性」法規。本篇將為您解析草案第二章(第5條至第15條)所規範的「共通安全維護措施」。這些是無論企業規模大小、營收多寡,都必須落實的合規底線。
1. 一切的起點:資料盤點與範圍界定
許多企業發生個資外洩時,甚至搞不清楚自己到底弄丟了什麼資料。安維辦法草案第5條明確要求,企業應「定期清查」確認所保有的個資現況,並界定管理範圍。
換言之,企業不能再以「資料太雜亂」為藉口。您必須知道公司裡有哪些個資(客戶名單、員工資料)、存放在哪裡(紙本庫房、雲端硬碟、員工筆電),以及蒐集的法律依據為何。唯有透過盤點,才能劃定防守範圍,這是所有資安治理的基礎。
2. 人員管理:保密協定與權限控管
「內鬼」往往比駭客更難防。草案第7條針對「人員管理」提出了具體要求:
- 識別權責:需辨識出業務內容涉及個資蒐集、處理或利用的人員。
- 簽署保密:必須與接觸個資的人員約定保密義務。
- 最小權限:帳號權限應採「最小權限原則」,非業務必要不開放存取。
- 離職交接:人員異動時,必須確實收回權限、繳回載有個資的設備或刪除資料。
此外,草案第8條也規定應定期對所屬人員進行認知宣導及教育訓練。這不再是「有空才做」的選項,而是必須留存紀錄的法定義務。
3. 設備與實體安全:該更新的不能省
針對儲存個資的電腦與場所,草案第9條與第10條設立明確指標:
- 設備安全:電腦應安裝防毒軟體並設定自動更新病毒碼、作業系統與軟體應適時更新修補漏洞。換言之,使用不再支援更新的舊版作業系統(如Windows 7)將直接構成違規。
- 實體安全:針對存放個資的機房或檔案庫房,應有門禁管制、監視錄影系統或實體門鎖,防止未經授權人員進入。
4. 特種個資:加密傳輸是標配
若您的企業保有的資料涉及「個人資料保護法」第6條的特種個資(如病歷、醫療、基因、健康檢查、犯罪前科等),依據草案第11條,必須採取更嚴格的保護措施:
- 紙本管制:訂定專門的紙本與可攜式設備(如隨身碟)管制規範。
- 傳輸加密:電子檔案在傳輸過程中必須採取加密措施,不能以明文傳送。
- 備份保護:備份資料應比照原件進行高規格保護。
5. 系統日誌與資料刪除:凡走過必留痕跡
針對企業自行或委外開發的資通系統,草案第12條至第15條要求:
- 帳號管理:應定期清查帳號,並強制設定複雜密碼。
- 日誌留存:系統應具備記錄登入、存取、刪除等行為的功能(Log),且日誌應保存適當期間(後續條文建議至少6個月)。
- 刪除紀錄:業務終止後,個資應確實銷毀或刪除,且刪除紀錄應至少保存5年,以供日後查核。
6. 建議:檢視「安維計畫」
上述規範是所有非公務機關的「最低標準」。無論是路邊的診所、中小企業還是大型跨國公司,只要保有個資,就必須落實這些措施。如果發生個資事故,主管機關來檢查時,首先看的就是這些基本功是否紮實。本所建議企業應立即檢視現有的內部規範,確認是否符合新版草案的要求,特別是「資料盤點」與「系統日誌」往往是企業最容易忽略的環節。
本所擁有豐富的企業個資法務與合規導入經驗,若貴公司對於安全維護計畫的撰寫、修訂或內部流程檢視有任何需求,歡迎隨時聯繫本事務所,我們將由專業律師團隊為您提供精準的法律分析與解決方案。
※特別提醒:本文所提及之相關子法草案(如安全維護辦法等)均為個人資料保護委員會籌備處於 2026年1月、2月間公告之預告版本。截至本文截稿日,相關草案仍處於意見徵集階段,正式施行條文可能視各界意見進一步調整,請讀者持續留意最新法規動態。
