(中央社訊息服務20241021 15:26:56)
《個人資料保護法》於民國112年05月31日修正後,就非公務機關違反該法第27條適當安全措施義務之規範,行政機關得處以之罰緩空間大幅提升。除此之外,觀近期因個資事故受主管機關裁罰,或民事訴訟個資事故爭訟案件,則多未採納適當安全措施有所關聯,因此企業應特別留意內部個資管理制度落實。
英國資訊委員辦公室(Information Commissioner's Office, ICO)於2024年10月7日推出新的稽核框架(audit framework),以協助組織評估自身是否符合英國資料保護法(data protection law)的要求。該實務運作遵循工具,可協助企業評估自身個資保護管理制度及安全措施落實情形參考。
該框架主要協助企業找出必要遵循步驟,以改善其個人資料保護實務運作,並持續進行合規性遵循。此框架共包含九個工具包(nine toolkits),並涵蓋以下領域:(1)可歸責性(Accountability);(2)記錄管理;(3)資訊與網路安全;(4)訓練與意識(Training and awareness);(5)資料共享;(6)資料請求(Requests for data);(7)個資事故管理;(8)人工智慧;(9)合於年齡之設計。
又工具包內則包括:「控制措施」範例、「控制措施」期望實踐方式清單、良好實務範例,除協助管理已識別的風險外,並列出了最有可能滿足英國資訊委員辦公室期望之實踐方式,以及呈現良好實務範例,可供組織實際運作上考量採擇,並就此類工具使用方式加以說明。
隨著《個人資料保護法》的修正,企業在個資管理上的責任愈加明確,特別是針對安全措施的落實。為了避免因違反相關規範而遭受裁罰,甚或因此涉及民事訴訟相關紛爭,除相對應賠償損失外,更將使得企業經營信賴度及名譽遭受影響,企業必須應特別留意《個人資料保護法施行細則》第12條所列安全措施,並加強個人資料保護內部管理制度。此外,英國資訊委員辦公室近期推出的稽核框架提供了一系列工具包,幫助機構評估和改善個人資料保護實務,強調合規性和風險管理。透過借鏡這些措施以及採納工具包進行檢視,企業能更有效地應對個資保護挑戰,提升整體資料安全保護水準。