【漾新聞記者陳雯萍/高雄報導】在今年年中,警方大動作的察查全國當舖業者業務的相關規定,其中,個資維護與保護,為重要的稽查重點項目之一。由於過去一些約定俗成的作法,大家都沿用舊規,致使許多業者在不明法理的情形下不慎逾越法令規定而受罰,如今公會依照個資保護法與警方的要求,訂定出「當舖個人資料檔案安全維護管理計畫」,總計19條的條文,也提供業者確實遵守。
依照「個人資料保護法」第27條規定,一、非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。二,中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。三、前項計畫及處理方法的標準等相關事項之辦法,由中央目的事業主管機關訂定之。
此外,在「警察局xx分局提升非公務機關個資保護意識及防護措施稽核紀錄表」中也載明,「提升業者個資保護意識,業者應確實了解,並遵循個人資料保護法,及內政部指定警政類非公務機關個人資料檔案安全維護管理辦法之相關規範,執行人員並有確實向業者宣導相關個資保護法令」,該份資料也指出:「輔導業者強化個資防護措施:檢查業者是否有訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法」,針對未訂定者,應適時要求業者依照相關規定辦理。」
在「個人資料保護法」中第48條也訂出三大項五大條文的罰責,從最少的2萬元到200萬;以及限期內若未改善,所處的罰責更高,可以處以15萬元以上1500萬元以下的罰鍰。
因此公會也協助訂定了「當舖個人資料檔案安全維護管理計畫」,協助訂定了19條的條文,作為當舖業者與客戶之間必須遵守的個資規定。
在這份「當舖個人資料檔案安全維護管理計畫」中,條文即明訂「以落實個人資料檔案之安全維護及管理,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」
也載明當舖業者「依個人資料保護管理政策,將蒐集、處理及利用個人資料之特定目的、法律依據及其他相關保護事項」但很重要的是,條文也載明,這份資料必須「公告於營業處所適當之處,使其所屬人員及個人資料當事人均能知悉。」
至於當舖可以對客戶所蒐集的個資可以使用的目的與範圍,第三條也載明:「本當舖對蒐集個人資料之特定目的(契約或類似契約或其他法律關係事務、消費者客?管理與服務、消費者保護行為管理),於達成特定目的之必要範圍內,界所蒐集、處理及利用個人資料之類別及範圍,並定期清查所保有個人資料檔案之現況。」
而該條文很重要的是,也指出當使用的目的與範圍消失時該做的處置,即「本當舖依前項清查發現有非屬特定目的必要範圍?之個人資料或特定目的消失、期限屆滿而無保存必要者」的作法,即「應予刪除、銷毀或其他停止蒐集、處理或利用等適當之處置,並留存相關紀錄。」
在個資的維護期間,如何防止外洩,第四條也載明「風險評估」的作法,包括:
(一)經本當?電腦下載或外部網路入侵而外洩。(二)經由接觸書面契約書類而外洩。(三)員工故意竊取、竄改、毀損或洩漏。」
同時也訂出「管理機制」,包括:(一)藉由使用者代碼、識別密碼設定及文件妥適保管。(二)定期進行網路資訊安全維護及控管。(三)電磁資料視實際需要以加密方式傳輸。(四)加強對員工之管制及設備之強化管理。
當資料被竊取、洩漏、竄改或其他侵害事故時,計畫的第五條也訂出應變機制,包括:一、向當舖負責人或經指定之管理人員通報,並立即查明發生原因及責任歸屬,依實際狀況採取必要措施,以減少對當事人造成損害。二、查明個資外洩發生原因及損害狀況,並以適當方式通知當事人事故事實,並告知本當舖已採取之處理措施及聯絡電話窗口。三、研議改進措施,避免類似事故再度發生。四、發生重大個人資料事故者,立即以書面或電話報當地主管機關。
本條文也強調:「前項第四款所稱重大個人資料事故,指個人資料被竊取、洩漏、竄改或其他侵害事故,致危及大量當事人權益之情形。」
在個資的蒐集過程中,計畫第七條也載明,「依據當舖業個人資料檔案安全維護管理辦法第八條及第九條有關告知義務之規定,並區分個人資料屬直接蒐集或間接蒐集,分別訂定告知方式、?容及注意事項,其告知事項下,分別有:一、公司(商號)名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人得請求閱覽、製給複製本、補充或更正、停止蒐集、處理、利用或刪除其個人資料。六、所蒐集非由當事人提供之個人資料,應於處理或利用前向當事人告知個人資料來源及前項應告知之事項。七、蒐集之個人資料除因執行業務所必須(有約定之保存期限、有理由足認刪除將侵害當事人值得保護之利益、其他不能刪除之正當事由)或經客戶書面同意者,應主動刪除或銷毀,並留存相關紀錄。
當舖對於從客戶端所蒐集到的個資,也必須採取必要適當之安全設備或防護措施,計畫的「第十一條」即載明如下:
一、紙本資料檔案之安全保護設施,對於各類契約書件及個人資料表應存放於公文櫃?並上鎖、員工非經本當舖負責人、主管或經指定之管理人員同意不得任意複製或影印。
二、電子資料檔案存放之電腦、自動化機器相關設備、可攜式設備或儲存媒體,應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及加密相關安全措施。
三、存有個人資料之紙本、硬碟、隨身碟、光碟片、微縮片、積體電路晶片或其他存放媒介物報廢汰?或轉作其他用途時,應採取適當之銷毀或防範措施,避免洩漏個人資料;委託他人執行者,本當舖對受託者之監督依警政類非公務機關(當舖業)個人資料檔案安全維護管理辦法第二十條規定辦理。
當舖為確實保護個人資料安全,對所屬人員也應採取適度的管理措施,第十二條
即寫出:一、依據業務需求,適度設定所屬人員不同權限控管其接觸個人資料之情形,並定期檢視權限內容之適當性及必要性。二、檢視各相關業務之性質,規範個人資料蒐集、處理及利用等流程之負責人員。三、要求所屬人員妥善保管個人資料之儲存媒介物、並約定保管及保密義務。四、所屬人員離職時、應將執行業務所持之個人資料辦理交接、不得在外繼續使用,並簽訂保密切結書。
同時,在個資的維護上,條文第十四條也載明要建立安全?護稽核機制,即「每半年定期或不定期檢查計畫執行情形,檢查結果並向負責人提出報告,並留存相關記錄。其中,很重要的是「保存期限至少五年」。
條文也規劃,檢查結果發現計畫不符合法令或不符合法令之虞者,立即提出改善及預防措施。
此外,第十五條也特別強調,在刪除個資時,當舖本身也要採行適當措施,留存個人資料使用紀錄、自動化機器設備之軌跡資料或其他相關之證據資料,其保存期限至少五年。其作法,如一、本當舖建置個人資料之電腦,其個人資料使用查詢紀錄檔,每年定期備份加密,並將該紀錄檔之儲存媒介物保存於適當處所,以供檢查。二、個人資料使用紀錄以紙本登記,應存放於公文櫃?並上鎖,非經本當舖負責人、主管或經指定之管理人員同意,不得任意取出。
當舖業務終止後,第十七條也規定,其保有之個人資料不得繼續使用,依下列方式處理,並留存相關紀錄,而且保存期限至少五年,其作法包括:一、銷毀:銷毀之方法、時間、地點及證明銷毀之方式。二、移轉:移轉之原因、對象、方法、時間、及受移轉對象得保有該項個人資料之合法依據。三、其他刪除、停止處理或利用個人資料:刪除、停止處理或利用之方法、時間或地點。
