文/黃彥棻 (記者) 2010-07-21
行政院率先指定無店面零售業自7月1日起,適用現行個資法,業者也需負舉證責任才能免責 |
重 點 ● 現行個資法業者雖不需舉證,要免責仍得證明自己清白 ● 東森購物為了因應現行個資法,重新檢視流程和合約 行政院公告,無店面零售業包括網際網路的電子商務、型錄以及電視購物業者,將於今年7月1日起,指定適用現行的「電腦處理個人資料保護法」。 業者因受法律規範就得承擔個資保護相關的責任和義務,最終仍須證明業者無故意過失才能免罰或減輕責罰。 相較於新版個資法強化業者舉證的責任,舊版個資法只規範電子化的個人資料外,受害者也必須證明個資是從哪一個業者的管道外洩,業者所需承擔的責任較小。 國巨法律事務所合夥律師朱瑞陽指出,現行個資法對業者並沒有舉證責任倒置的問題,但業者最終仍須證明自己沒有過失才能夠減輕責罰甚至免責。他認為,業者不能認為舉證責任在告訴人身上,而輕忽法律對業者的要求和規範。 由於總統已經公告新版個資法,雖然行政院還沒有公布施行日期,但對於提前在今年7月1日就得適用現行電腦處理個人資料保護法的無店面零售業者而言,中華民國無店面零售業協會副秘書長柏幼林坦言,對於一些中、小型業者而言,的確有同樣一件事情,必須重複作兩次的壓力。 柏幼林指出,要提前適用現行的個資法,的確需要支付其他額外的資安與IT費用,加上目前新版個資法的施行細則也尚未公布,對於中、小型業者而言,的確有不知該從何著手的疑慮。 因此,柏幼林表示,該協會希望政府可以公布業者應該要怎麼作,才可以做到符合安全的標準進而免責,甚至能有第三方的稽核單位,根據政府提供的安全標準作法,檢視業者作法是否符合安全標準。他認為,政府若能提供相關的安全作法與規範,對於無店面零售業者會有較大的助益。 不過,柏幼林也建議業者,無店面零售業者應該趁此重新審視內部所有擁有的個資,檢討並保留公司營運過程中所必要的個資,對於合作的供應鏈廠商,業者也應該提供必要的個資即可。 資策會科法中心科技應用法制組組長邱映曦認為,對於適用現行個資法的無店面零售業者而言,第一件要作的事情就是,先了解公司目前所有個資來源為何?並且開 始思考如何符合新版個資法所規範的「告知義務」。因為,業者不能再有「個資越多越好」的心態,所有個資取得都應該奠基在「合理運用範圍」的運用。 東森購物資訊部協理丁平碩指出,電視購物業者現在雖然被主管機關指定適用現行的電腦處理個人資料保護法,最終仍得符合新版個人資料保護法。 所以,丁平碩說,東森購物花了兩年多的時間,從以總經理帶頭重視個資保護、成立資訊安全小組開始,到後來經過資訊盤點,確認全公司最重要的客戶資料為「使 用者聯絡電話」、「購物資訊」及「信用卡號」,確保客服人員、其他部門甚至是IT部門同仁,都無法以直接或間接方式,取得可供辨識的客戶個資。 個資保護的過程是需要時間的,丁平碩表示,即便東森購物已經從流程多次檢視個資保護的作法是否還有進步的空間,但為了因應電視購物業者的提前適用要求,該 公司仍重新檢視與上下游廠商會使用到的會員個人資料的使用範圍與保護方式,並和上下游供應商重新檢視合約,釐清個資保護的責任與義務。 至於另外一家今年才開臺的電視購物業者森森百貨,該公司法務長楊俊元接受書面採訪時表示,該公司透過勤業眾信、敦陽科技針對U-Life資訊做資訊安全控 管,積極爭取ISO 27001資安認證,並強化資料庫的機密性和完整性,相關個資也不移作他用。但他也說,在新版個資法的適用上,目前仍等相關配套法令出爐。文⊙黃彥棻 |