個資法進入校園
個人資料保護法頒佈後,最明顯的幾項大衝擊──舉證責任的翻轉、雙罰制、全組織導入,以及完善法令要求的措施在實務執行上的成本(例如取得書面同意),讓學校機構大傷腦筋。
學校機構雖然擁有大量的個人資料,個人資料保護法作為加入某些國際貿易區的必要條件之一,對立法原旨與學校主要業務的連結,似乎很遙遠,若以單純遵守法律來看待,不免在推行上「為法律而法律」,缺乏對制度設計理念的體認。過去實施「性別平等法」時,因著此事攸關學校主要服務對像──提供友善學習環境、平權態度的培養等,實際已內化成了校園文化、師長間互動原則,效果是外顯的。個人資料雖然在日常行政作業中大量地流動,但管理的落實卻是大量的不外顯的管理活動,這隱晦的效果,使得個資法在推行的過程中,如果不希望它成為某種虛應故事,就得結合其他的活動──例如導入第三方認證、結合已有內控流程,可使得個資法的推行成為外顯、可理解、有意義的活動。
引入顧問公司協助
本校在推行之初即將目標設定在通過第三方驗證,故引入輔導顧問公司協助。這麼做之好處顯而易見:一、學校組織扁平化,核心行政中樞與學術單位處於互不隸屬,需要有一個在專業第三方作為溝通媒介,減少溝通摩擦。二、通過三方驗證是個明確的目標、有具體階段性執行步驟,一步一步來,減輕全組織導入壓力。三、第三方驗證至少3年,拉長時間縱深,漸漸改進。四、為了俱備可驗證性,一個管理框架是必需的,這框架一般稱作為個資管理制度(PIMS),至於是否需要第三方驗證,就由推行單位自己決定。本校當時是採用ISO29100,而這套標準亦在民國103年成為CNS 29100資訊安全個資管理國家標準。
ISO29100管理框架考量了本國個資法實行細則十一項安全維護措施,其實動員了組織內所有部門、例如管理高層、財務、資訊安全、人事,以及第一線收集個人資料的單位往共同的管理標準靠近。實際執行時最先要做的是「流程鑑別及個資清查」,即是將現有作業流程中抽取出使用的個資,分析其資料成分、法令依據以及資料的橫向與縱向流動。
而這項「流程鑑別及個資清查」是個資導入過程中最具挑戰性之工作,等於是一個組織標準作業流程的總體檢──過去無建立標準作業流程者,即要動手草擬;已有標準作業流程者,則要進一步從流程中以個人資料的角度重新檢視,最後將上述作業予以系統化地文件化。學校九成以上的作業皆關注於人,主體為個資流動,這份清查作業將產出之系統化文件,幾乎是涵蓋了大部份的行政作業。
本校個資管理制度至今推行至第三年,最明顯綜效在於,個人資料保護管理制度(PIMS)已與學校內控、內稽、ISO9001及資訊安全結合。基層主管可以將個資管理制度之導入視為一個將單位管理系統化的契機,一套個資管理制度除了可整理現有流程外,釐清個資流過程中,亦可取得一個客觀之基礎來檢視單位所需要之資訊安全防護等級,隨者妥善地將個資管理的責任下放至各單位,使得資訊安全之需求由過去集中在網管單位本身技術擴散至行政單位,對未來資訊安全基本法實行後,在組織內部推行取得共識基礎。
*作者為樹德科技大學網路應用組組長