常見的個資管理制度
隨著資訊化時代的到來,個人資料在網際網路上的應用與通訊上的傳輸,已是非常普及的現象,為了避免個人資料的外洩對組織帶來營運衝擊,對於個資的保護,一直以來都是企業相當關注的議題。而不同的企業文化、流程與需求當然伴隨著不同的保護方式,但為了能有系統化的管理個人資料的使用,依循國際標準的要求也漸漸的成為了企業遵循的方式。國際標準的優勢,就是避免執行階層的更迭而有不同的做法,穩定的管理模式也才能有所傳承。
Taiwan Personal Information Protection and Administration System
TPIPAS 台灣個人資料保護及管理制度
臺灣個人資料保護與管理制度「Taiwan Personal Information Protection and Administration System (TPIPAS) 」是我國唯一由政府推動的個人資料管理制度(Personal Information Management System, PIMS ),我國頂尖智庫財團法人資訊工業策進會科技法律研究所擔任TPIPAS維運機構,由專業團隊負責其維運與持續追蹤國內外隱私保護趨勢接軌。
TPIPAS的設計是基於我國個人資料保護法、OECD、APEC、GDPR對於個人資料保護要求之重要原則,並結合「個資法遵要求」、「組織管理流程」與「政府認證標章」,從法律面、管理面與程序面確保組織有充分、適當的管理與控制程序,能夠足以符合國內個人資料保護法之最佳法遵實務要求,更有助於達成保護個人資料之目的,組織導入TPIPAS可增強客戶、消費者等利害關係人對於組織個人資料管理能力的信心。
Cross-Border Privacy Rules
CBPRs 跨境隱私規則
CBPRs 是在亞太經濟合作數位經濟指導小組(Asia-Pacific Economic Cooperation Digital Economy Steering Group, APEC DESG)下由美國領導推動的國際隱私法遵標準。 CBPRs 透過參與的 APEC 會員經濟體共同建立國際隱私法遵 一致性的要求,並藉由各國指定之當責機構(Accountability Agent, AA)對企業或組織進行驗證,證明企業或組織對資料 或個資管理的重視與能力,建構合規資料自由流通的信賴環境,促進商務貿易往來。是 APEC 推動數位經濟發展基礎重 要的一環。 APEC 在 2011 年正式實施 CBPRs 之後,已有不少國家陸續獲 得認可成為會員,至今除了臺灣之外,還有美國、墨西哥、加 拿大、日本、韓國、新加坡、澳洲、菲律賓等會員經濟體,國際上亦有非 APEC 會員經濟體支持 CBPRs,如百慕達等。未來 也將持續有其他國家加入。 取得 CBPRs 標章,採取透過第三方認證方式,證明企業資料 保護具有相當水平,除了增加國際市場信賴度及商業機會,亦 可有效減低個資法遵隱私風險。有助擴大數位貿易合作夥伴 範圍,並於全球進行資料傳輸,銜接區域貿易資料流通。
ISO 27701
隱私資訊管理系統
在常見的個人資訊管理系統選擇中,最常見的即為英國國家標準 BS 10012,該標準是針對個人資訊管理所制訂的第一項標準,其對於歐盟 GDPR 的實施提供了一個實務可行的方案。而在2019年8月,ISO 國際標準組織正式發佈了 ISO/IEC 27701 個人資訊管理系統,該標準讓個人資訊管理系統成為了全球第一部整合資訊安全與隱私保護之管理系統,而 ISO/IEC 27701 之所以受到重視,也是因為其來自於 ISO 27001 資訊安全管理系統之延伸,對於已導入或通過資訊安全管理之企業組織,易於再將隱私管理的控制措施加入,同時兼顧資訊安全與個人資訊的管理。
BS 10012
英國標準個人資料管理系統
BS 10012 PIMS由英國標準協會基於OECD、APEC及資料保護法對於個人資訊管理制定而來。BS 10012與其他國際標準一致,定義了個人資訊管理系統(Personal Information Management System PIMS)的要求。標準的設計確保有充分、適當的控制措施,並有助於保護個人資訊、增強包括客戶、當事人等利害關係人對於組織在個人資訊管理上的信心。標準採用過程方法來建立、施行、運作、監控、審查、維護及改善組織的個人資訊管理系統(PIMS)。