隨著新版個人資料保護法的通過,企業對於客戶資料的保護,已不再侷限於特定產業,而是全面性的要求。其中電信業由於特殊的中介服務性質,掌握許許多多用戶的個人資料,自然成為個資法適用的主要目標。另一方面,電信業的主管機關NCC也積極推動業者強化資訊安全管理,在「電信事業資訊通訊安全管理作業要點」中希望各電信業者導入資安管理體系(ISMS),取得相關認證。未來並規劃於電信法修正條文中,將此作業要點的位階拉高,賦予對應罰則,以加強對業者的要求。因此電信業者除了要針對個資法的要求做因應外,也應把ISMS納入企業流程的一環,做好法規遵循的準備。
新版個資法與電信法修訂這兩項遵法議題有一定的相關度,但其目標是完全不同的。業者在面對這兩項議題時,可以先單獨思考個別的要求,對企業現有服務與流程做差異分析。但在進行風險改善或處理計畫時,為了避免資源重複投入的浪費,宜將兩邊的需求加以整合。
例如:個資法第二十七條中,針對個人資料檔案安全維護計畫及業務終止處理方法,要求「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」這部份其實與許多ISO 27001附錄A的控制項有許多關聯。而且施行ISMS後,許多政策或程序都會被要求增加執行的紀錄或做有效性評估,這部份對於企業來說,在處理未來與客戶個資相關爭議時,可以藉由ISMS施行的相關紀錄,作為法律上責任歸屬的依據。
但是個資法與電信法也有許多不同的要求,例如個資法對於資料的生命週期與相關權利義務有非常詳細的陳述,企業必須認真檢視現行客戶與行銷名單的來源、內容與處理流程,在企業流程上做適當的因應。亦即為了保有行銷名單,可能要做好付出成本的準備。而電信法若修正後,可能會要求現有業者,需完成ISO 27001甚至是ISO 27011的國際管理標準驗證。其施行範圍,也可能擴大至「交換機房、交換中心匯集處」等,影響層面與範圍都可能加大許多,規模較大的電信業者必須及早做好準備。
K大俠在此要強調,針對個資保護或資安管理作業,要作到滴水不漏同時要兼顧業務進行順暢是絕對不可能的。然而企業必須體認到投資在資訊安全上的成本,隨著法令上責任的變更與罰則的加強,已不再是過往聊備一格的選擇。電信業除了面臨個資法外,未來還有新版電信法的挑戰,因此增加資安上的投資,或許也是提昇企業未來競爭力的一個重要方式。
沒有留言:
張貼留言