第四章 企業就客戶資訊可採取之管理措施
第二節 我國法上之管理措施
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
本文以為,「合理安全措施」所涉及之層面涵蓋員工訓練及教育、客戶個資的 去識別化/匿名化、資訊接觸者之管控、權責分工、事件稽核、資訊系統監控、資 訊交換、媒體儲存等面向,遠較「合理保密措施」之要求為高,故美國企業得以 前者作為客戶資訊管理系統之建置準據。然而,美國司法實務認為「保密協議」
乃基本的「合理保密措施」型態,此在「合理安全措施」之內容中並未特別強調,
故本文建議企業得將「保密協議」加入前述之客戶資訊管理系統中,使客戶資訊 獲得妥善之保護,避免將來可能之法律風險。此部分由企業綜合考量自身的資源 配置、組織架構及法律風險等層面後,作出妥適的決定。
第二節 我國法上之管理措施
客戶資訊是企業重要的無形資產之一,但如有不慎,企業也可能因客戶資訊 管理之不足而暴露於各種法律風險之中,影響企業的經營。為此,企業應認知客 戶資訊管理的重要性,於企業治理上,應熟習個人資料保護法及營業秘密法之規 範內涵,並以其為基礎,建立個人資料法令遵循之標準程序及營業秘密的管控制 度,並強化企業的資訊安全機制,以確保企業可以於穩固的基礎上經營、成長與 茁壯。
壹、個資法之適當安全措施
依我國個資法之規定,企業應採行適當之安全措施,以防止所保有之個人資 料檔案被竊取、竄改、毀損、滅失或洩漏。未來中央目的事業主管機關將會針對 不同的行業訂定相關之管理規範,也將指定特定行業須依管理規範規定之標準,
訂定「個人資料檔案安全維護計畫」或「業務終止後個人資料處理辦法166」。
目前現行法對於安全措施之種類及內容雖未明確規定,但個資法施行細則對
166中小企業法規宣導手冊(27)「中小企業因應個人資料保護法手冊」,經濟部中小企業處 編印,
100 年 11 月,頁 49。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
此已有詳盡規定,可供參考。將來各中央目的事業主管機關訂定個人資料安全維 護計畫之法規命令時,將以下述之必要措施為基準,訂定符合不同行業之規範。
企業宜留意法令動態,並注意所屬中央目的事業主管機關之法令要求,以確實做 好法令遵循措施,降低觸法風險。
依照個資法施行細則第12 條,所謂「適當之安全措施」,係指為防止個人資 料被竊取、竄改、毀損、滅失或洩漏,所採取技術上及組織上之必要措施,得包 括以下事項:
(一) 成立管理組織,配置相當資源。
例如:成立資訊安全部門,並配置相當人力,以進行資安管控。
(一) 界定個人資料之範圍。
例如:就客戶資訊之範圍加以界定,了解是否為個資法所保護之個資。
(二) 個人資料之風險評估及管理機制。
例如:了解公司本身之資安缺口及風險評估,並設置適當機制修補之。
(三) 事故之預防、通報及應變機制。
例如:一旦客戶資訊外洩,應有一套完善的通報及應變機制,以降低可 能的損失。
(四) 個人資料蒐集、處理及利用之內部管理程序。
例如:客戶個資蒐集時,應注意那些個資原則不得蒐集,並踐行告知義 務;個資之處理及利用,若涉及原定目的外之利用,應另行告知客戶並 取得其同意。
(五) 資料安全管理及人員管理。
例如:建置完善的資安軟體,並將客戶資訊妥善保存,禁止員工擅自將 客戶資訊攜出。
(六) 認知宣導及教育訓練。
例如:於員工教育訓練過程中,向員工宣導客戶資訊受個資法保障,不 得任意外洩,否則將負法律責任。
(七) 設備安全管理。
例如:設置門禁制度,進出入須配戴公司證件 (八) 資料安全稽核機制。
‧
http://www.moeaidb.gov.tw/external/ctlr?PRO=information.InformationNewsView&id=13288 (最後瀏 覽日:2014/5/29)。
‧
‧
‧
‧
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
同時為使企業之負責人能盡其督導及監督之責,以使其遵守個資法對於負責人之 防止義務要求,管理代表定期向事業之負責人報告個人資料管理組織運作之相關 事項。
(二)監督人員
為有效督導並評核個資保護管理程序運作及安全措施執行之成效,除個人資 料管理代表外,管理組織亦應有監督或評核計畫是否落實執行之監督人員,或可 稱為個人資料內部評量人員。
(三)管理人員
如果將管理代表比擬為組織之大腦,也必須有手足才有辦法執行所有的工作,
並且落實在企業各個部門。所以,因應企業的規模及組織架構,在各個部門亦有 其部門的個資管理負責人員,或可稱為個人資料管理人員。其作用在傳達管理組 織所吩咐的工作,讓各部門可以落實個資管理安全措施的要求。執行小組須根據 個人資料保護管理政策之內容,建置個人資料保護管理制度,由企業負責人指定 召集人領導執行小組,並且指示業務部門協助執行管理制度169。
三、製作個人資料管理作業時程表
執行小組完成任務編組後,執行小組便應著手進行個人資料管理作法的詳細 時程規劃,並應於規劃時程表後,通知相關業務人員協助。
四、公告個人資料保護管理政策
於個人資料保護管理政策制定完成後,建議執行小組將管理政策向外公告。
公告之方法很多,透過公司之官方網頁建立隱私專區是一個常見)普遍而且有效率 之方式。
169 同前註。
‧
‧
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
管理制度之作業手冊內,以供同仁參考。又當事人權利行使程序也應該訂於作業 手冊內,以因應個人資料當事人提出查閱、刪除、更正等相關權利之要求172。
十、實施個人資料保護管理教育訓練
教育訓練與個資法認知宣導其實為個資法針對個人資料安全維護事項之規定,
公司應指派教育訓練負責人實施教育訓練,同時,也應留下教育訓練之記錄,以 供日後參考,並且作為公司已符合個資法規範要求之證明。
十一、運作個人資料保護與管理
組織依步驟一至步驟十之內容所建立之計畫及所配置之相當資源後,則可以 開始執行其公司之個人資料保護管理程序,使其管理作業正式運作。
十二、檢視
建議公司定期檢視個人資料保護管理制度之運作情形,並且進行改善。例如:
檢視各業務部門是否依據內部管理程序以及個人資料保護法之規定蒐集、處理或 利用個人資料。而在檢視過程當中,可以考量下列相關事項,以決定如何調整安 全管理制度173:
(一)安全措施之執行狀況
(二)內部評量所得結果與應改善之部分 (三)個人資料保護相關法令之修訂狀況
(四)社會情勢、國民認知、技術發展等各種環境之變遷 (五)機關業務領域之變化
(六)機關內外部之改善建議
(七)其他可能影響管理制度的任何變更
172 同前註。
173 同前註。
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
為例,其認為「合理之保密措施,並無一定之要件,應就個案考量,依一般客觀 社會經驗判斷,只需依實際情況盡合理之努力,使他人客觀上得認識係屬秘密即 足當之。」高等法院96 年上字第 198 號民事判決、高等法院 96 年重上字第 294 號民事判決亦對「合理保密措施」採取相同之定義。
然而,上述三判決所認可之具體保密措施並不完全相同,有認為僅需簽訂「保 密契約175」即屬合理保密措施;亦有認為須有「保密契約、電腦密碼及文件櫃上 鎖176」等舉動,始符合合理保密措施之要件;另有認為,除「保密契約、電腦密 碼」外,另需「發放工廠識別證、領發圖紀錄和簽章177」等,始受營業秘密法之 保護。由此可知,實務上就具體合理保密措施之判定,並無統一明確之基準,端 賴個案之考量。因此,論者就目前我國之實務見解加以整理,得到目前被實務肯 認之主要八大態樣178:
表 5 我國實務肯認之合理保密措施態樣
保密措施類型 舉例
一 註記「機密」、「限閱」或 其他任何足以表彰該等 文件機密性之字樣179
將文件加註「confidential」字樣,或是將文 件區分為極機密、密件、限閱等級,使員工 知悉特定文件之秘密性。
175高等法院96 年上字第 198 號民事判決:被上訴人授權上訴人在委託代工訂單生產及採購目的之
範圍內使用系爭資料,但已在系爭協議書中明白約定上訴人應以善良管理人之注意義務,保守並 於公司內部採取適當保密措施,上訴人不得為自己或第三人利益,而使用系爭資料,並應就接觸 系爭資料之員工,簽訂保密契約;非經被上訴人之事前同意,不得洩露於第三人,且上訴人亦依 約與其員工簽訂職員保密協議,堪認被上訴人已就系爭資料加以合理之保密措施。
176 高等法院 96 年重上字第 294 號民事判決: 被上訴人對於系爭含浸處理機之製造技術之開發及 獲取,既投注相當之努力及費用,其對於該秘密亦已採取合理之保密措施,此經告訴代理人高萬
財於本院刑事庭到庭指稱:「(問:你們公司的設計圖有無管制?)都存在電腦檔案裡,工程師如
果要看需要輸入密碼才能看得到。」、「(問:是否任何部門都看得到?)工程部門才能看。」等語…,
而乙○○亦坦承被上訴人有要求其出具保密的切結書、公司電腦設有密碼,公司人員必須知道密碼 始可使用,以及被上訴人放置設計圖之圖案櫃及圖案櫃之入口皆有上鎖…。
177高等法院93 年上更(一)字第 77 號民事判決:查,被上訴人除與上訴人甲○○簽訂保密切結書外,
另發有工廠識別證、領發圖記錄和簽章,且被上訴人將設計圖面放入電腦,設計人員須憑密碼始 得進入電腦取得圖面,… 堪認被上訴人於本件事發前已採取合理之保密措施。
178 參楊雅竹,營業秘密合理保密措施之研究,國立政治大學智慧財產研究所碩士論文,頁 51-57,
178 參楊雅竹,營業秘密合理保密措施之研究,國立政治大學智慧財產研究所碩士論文,頁 51-57,