法律条文往往是抽象的,但落实到信息系统(IT)层面,必须转化为具体的参数与设定。随着“个人资料档案安全维护管理办法”草案(下称草案)的预告,个资保护不再仅是法务部门的责任,信息部门(IT)肩负了最前线的技术合规重任。
许多企业IT主管常问:“Log到底要留多久?”、“资料删掉就好,为什么还要留纪录?”本篇将从草案第12条至第15条及第23条的技术规范出发,为您解析IT部门必须掌握的合规指标。
1. 数字足迹:日志 (Log) 的留存与保存期限
当发生个资外泄或遭窃取时,系统日志是唯一的“案发现场”证据。草案第13条要求所有企业的资通系统必须具备记录特定事件的功能。
- 记录什么?必须记录资通系统管理者帐号执行的各项功能,以及特定资通系统事件(如使用者登入/登出、资料存取、修改、删除、权限变更等行为)。
- 留多久?
- 一般非公务机关:草案第13条仅要求“订定保存适当期间”,赋予企业依风险自订的弹性。
- 大型非公务机关:草案第23条明确划出红线,日志必须“至少保存6个月”。
虽然一般企业未强制规定6个月,但考量个资事故的潜伏期往往长达数周甚至数月,本所建议一般企业参照大型企业标准,将Log保存期限设定为6个月以上,以免届时因缺乏证据而无法厘清责任,反遭主管机关认定未尽保管义务。
2. 删除的艺术:不仅要销毁,还要留存纪录
业务终止(如客户解约、专案结束)后,个资该如何处理?草案第15条提出了严格的程序要求:
- 销毁标准:必须采取适当删除措施,使资料“不可回复”(例如实体破坏或数字抹除)。
- 关键5年:最容易被忽略的是,删除资料后,必须留存“删除纪录”(包含删除方法、时间、地点),且该纪录必须保存至少5年。
换言之,为了证明“没有保有资料”,企业必须保有一份“我已经删除资料”的证明文件长达5年。这是为了在未来发生争议(如客户3年后投诉个资遭滥用)时,企业能拿出证据证明早已销毁资料,并无滥用可能。
3. 权限与备份:最小权限与加密保护
针对系统存取与备份,草案第12条与第14条设立了明确的技术门槛:
- 最小权限原则:使用者权限应仅限于业务所需,并应定期清查帐号,移除闲置或离职人员帐号。
- 强密码策略:强制要求使用者设置符合复杂性需求的密码,并定期更换。
- 备份加密:备份资料不能成为资安破口。草案要求备份资料应采取适当保护措施(例如:加密),并确保其可用性(例如:定期进行还原演练)。
虽然近期国际资安趋势(如NIST指引)倾向不再强制使用者定期更换密码,以免造成使用者疲劳或设置弱密码。然而,依据目前草案的立法说明,“定期更换”仍被列为必要的控管措施。在法规修正前,建议企业仍应依法要求使用者定期更换密码,以确保合规。
4. 系统上线前:源代码检测与渗透测试
若企业属于“大型非公务机关”且资通系统提供对外服务(如Web、App),草案第23条追加了更高强度的开发安全规范:
- 上线前:必须办理源代码检测、弱点扫描及渗透测试,并在修补完弱点与漏洞后,系统始得上线。
- 上线后:仍应持续办理上述检测。
换言之DevOps流程必须将资安检测(SecDevOps)强制纳入,不能为了赶上线而牺牲安全性。对于一般企业,虽无法令强制,但若系统涉及大量个资,这仍是证明已尽“适当安全维护措施”的最佳实务。
5. 建议:IT与法务的对话
新版个资法的合规不再是法务部门闭门造车就能完成,必须与IT部门深度协作。建议企业采取以下行动:
- 盘点Log政策:检查现有系统(包含地端伺服器与云端服务)的Log设定,是否包含足够的栏位?保存期限是否足够?
- 建立删除SOP:设计标准化的“资料销毁纪录表”,确保IT人员执行删除指令后,有留存书面或数字纪录归档。
- 预算编列:若企业属于大型非公务机关,建议编列年度弱点扫描与渗透测试的预算。
本所拥有丰富的企业个资法务与合规导入经验,若贵公司对于系统合规性检视、保存期限政策制定或资安采购合约审阅有任何疑问,欢迎随时联系本事务所,我们将由专业律师团队为您提供精准的法律分析与解决方案。
※特别提醒:本文所提及之相关子法草案(如安全维护办法等)均为个人资料保护委员会筹备处于2026年1月、2月间公告之预告版本。截至本文截稿日,相关草案仍处于意见征集阶段,正式施行条文可能视各界意见进一步调整,请读者持续留意最新法规动态。
