DP Mark, 資料隱私保護標章

保護個人資料應採行適當之安全措施

我國新個人資料保護法即將實施,各行各業對於如何保護個人資料,以及究竟應採行何種適當之安全措施,甚為關切。實際上,早在新個人資料保護法尚在研議之時,於2008年6月即有立法委員提案,為保障民眾個人隱私建議政府參考國外作法,推動我國隱私權管理保護認證制度。案經立法院會議決議,行政院因而交經濟部研究建立個人資料保護管理系統標準,與隱私權標章驗證制度。

TPIPAS管理制度

網路世界已經儼然現代生活不可避免的寫照,舉凡資訊之傳播搜尋、人際關係的交往、乃至生活及商業之交易,時常都是透過網路進行。由於網路的普及與運用,電子商務業發展甚為迅速,而電子商務之特性,在營運上還涉及了金流、物流等行業,使得個人資料的移動,更為頻繁與複雜。為了保障消費者在進行網路交易時,對於其個人資料的保護能有充分的保障,實有必要加強電子商務業者對於個人資料之保護與管理責任。

2009年8月行政院產業科技策略會議,決議推動電子商務個人資料管理暨資訊安全行動方案,並於2009年12月核定該「塑造資安文化、推升資安產值」之關鍵推動方案。「臺灣個人資料保護與管理制度(Taiwan Personal Information Protection and Administration System, TPIPAS)」,即係於該方案架構下,所規劃推動措施之具體行動計畫,希望經由前瞻政策之引導,在政府與民間通力合作下,達成其中之「強化民眾個資保護」目標。

DP Mark隱私保護標章之由來

由於新個人資料保護法規定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。而個人資料檔案安全維護計畫,及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。

經濟部既奉行政院交付研議建立個人資料保護管理系統標準,與隱私權標章驗證制度,而經濟部商業司又係電子商務業者之目的事業主管機關,為配合新個人資料保護法之修正,特與財團法人資訊工業策進會科技法律研究所合作,研擬電子商務個人資料管理建置計畫,並於2011年4月宣告將透過推廣TPIPAS管理制度,及推動「資料隱私保護標章(Data Privacy Protection Mark, DP Mark)」制度,以期建立電子商務業者安全之個資保護環境。經濟部表示此一制度將協助業者有效減少個人資料或交易資料外洩之風險,與可能相應之訴訟,另一方面業者亦得以舉證提出符合制度與法規遵循之事實。

國際上,就個人隱私權的保護,目前已有不少國家係採標章認證之方式,例如:日本的P Mark標章、韓國ePrivacy Mark、美國的TRUSTe。經濟部商業司推動我國相關的「DP Mark, 隱私保護標章」認證機制,也算是因應國際潮流。

DP Mark隱私保護標章之試行

經濟部商業司自2011年4月間宣告推廣「台灣個人資料保護管理制度TPIPAS」及建制「DP Mark, 隱私保護標章」以來,已經在全省展開推廣說明會,透過標章發表會,宣示我國首創個人資料保護與管理制度之完成,並對外說明配套企業輔導措施。經濟部商業司也說明此2011年起推動的是TPIPAS管理制度,以及「DP Mark, 隱私保護標章」之試辦階段,主要先以電子商務企業、無店面零售業、百貨零售或量販業者為對象,資策會將協助自願導入TPIPAS管理制度的業者予以輔導。

經濟部說明,因應個資保護法令變動,此TPIPAS管理制度將協助業者契合法制要求,該制度以新版個資法為基礎進行設計,以協助非公務機關(團體或事業體),建立內部團隊,將個資法複雜的細部要求,逐步轉化為企業內部管理流程,並佐以輔導機構的積極輔導。

相關機構

經濟部將根據輔導機制運作規則,提供業者適合的輔導機構名單,協助業者導入整體TPIPAS制度規範。輔導機構將協助業者重新盤點個人資料、制定符合企業作業流程的個資管理規範、強化職員教育,並以定期稽核的方式保護個資。

在隱私保護標章取得方面,未來當事業於導入TPIPAS管理制度後,得提出驗證申請,經過公正嚴謹的驗證程序,通過審查後,即可取得「DP Mark, 隱私保護標章」使用資格。取得此「DP Mark, 隱私保護標章」的企業意味其個資保護措施不僅符合,還更超過個資法的規範要求。

目前「DP Mark, 隱私保護標章」制度暫定該標章於發放後兩年內有效,在這兩年期間內,企業可將標章用於其網站、實體文宣、出版品及名片等,不僅可提升組織或企業形象,還能提高客戶信賴感。但此標章使用兩年後,事業須於期限屆至前,向「DP Mark, 隱私保護標章」授證機構提出更新申請,以落實定期審查之原則。

由前述可知,在TPIPAS管理制度中,輔導機構、驗證機構、以及授證機構三者,可謂相輔相成。尤其驗證機構不僅要嚴格把關,授證機構也必須定期檢視,才能真正落實個人資料的保護,並協助業者避免觸法。

目前此TPIPAS管理制度與「DP Mark, 隱私保護標章」之取得,還在試辦階段,輔導、驗證及教育訓練皆由資策會科法技法律研究所負責。至於未來規劃,經濟部表示,初步構想為開放輔導廠商的身份限制,只要提出書面申請,經過基本審查程序就可以,並不限制家數;至於驗證廠商的門檻較高,必須經過嚴格的資格審查,且會管控數量,預計只開放2或3家,而標章發放工作仍由商業司來負責,但經濟部強調,這只是初步規劃,還須經過內部討論,預計年底才會有較明確的方向。但,未來將推動授證機構及驗證機構法人化,驗證機構則將選定專責機構負責,而輔導機制將開放給民間企管顧問公司執行,讓此三者都能善盡其職,達到協助業者落實個資法要求的目的。

目前進度

由於目前TPIPAS管理制度與「DP Mark, 隱私保護標章」之授與,皆僅止於試辦階段而已,經濟部預計在檢討試辦的經驗與結果,陸續修正相關法令,例如:台灣個人資料保護管理制度TPIPAS規範、驗證機構資格與管理規則、輔導機構運作規則、企業試辦導入規則、隱私標章發放與管理規則…等,而預期在2012年六月正式實施,開始進行驗證,並發放標章。

惟,有許多業界指出,關於該制度的相關措施,例如:驗證機構、驗證方式、輔導措施、異議機制…等皆尚未能夠清楚規範,使許多人對於此TPIPAS管理制度及「DP Mark, 隱私保護標章」實施之可行性,以及其客觀、獨立、公平、與可信度,可能有待商榷。

再者,目前此一制度僅限於以電子商務、無店面零售業、百貨零售或量販業者為對象試辦而已,將來是否能成功地推行至其他各個行業,也尚在未定之論。此預計將透過經濟部與各行業之目的事業機關協商溝通,才能決定。

經濟部表示其將持續不斷努力,繼續扮演推動主軸機關,從實際的個資保護與管理中汲取相關經驗,對該制度持續進行改善。