A公司擬依法採取適當之安全措施,以保護所蒐集的個人資料檔案,目前有無規定應採取哪些具體的措施項目?或法律上有無要求該等安全措施應達到如何之技術水準?
個人資料保護法第27條第1項要求資料蒐集者應採取適當之安全措施,個人資料保護法施行細則第12條第2項規定所採取之適當安全措施,以與所欲達成之個人資料保護目的間,具有適當比例為原則。但個人資料保護法並無硬性規定具體的措施項目,始可謂符合該法規定,應依不同具體個案情況,採取不同技術上及組織上之措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。故A公司得考量自身組織規模大小與其蒐集、保有個人資料的數量或內容,依比例原則提撥適當預算,建立技術上與組織上之適當安全措施。例如對於紙本資料,A公司可採行諸如紙本加印浮水印或專人看管等措施,對於電子檔案可採取密碼驗證、防盜拷機制、伺服器維護與備份、定期維修測試等措施。
此外,若A公司因消費關係蒐集有消費者的個人資料,例如A公司建立消費者資料庫以便提供售後維修服務或軟體更新服務,或A公司本身即屬資訊服務業之公司如提供雲端空間供消費者存放備份資料等,根據消費者保護法第7條第1項規定「從事設計、生產、製造商品或提供服務之企業經營者,於提供商品流通進入市場,或提供服務時,應確保該商品或服務,符合當時科技或專業水準可合理期待之安全性。」若有違反,致生損害於消費者或第三人時,依同條第3項規定,企業經營者應負連帶賠償責任。因此,A公司對於所蒐集之消費者個人資料的保存,須採取「符合當時科技或專業水準可合理期待之安全性」的措施。
根據法條規定,A公司採取的安全措施只要達到「當時可合理期待」之技術程度即可,所以嗣後若出現科技水準更高或更完善的措施,A公司不會因此就被認定「不符合當時科技或專業水準可合理期待之安全性」,意即法律並非要求企業不斷追尋至最新科技或專業水準,A公司所採取保存消費者資料的安全措施,只要至少與所屬產業一般採取的適當安全措施相當就可以了。
參考資料:法務部102年4月19日法律字第10203503430號函
加入我們的FB粉絲專頁「中小企業法律新訊粉絲團」,取得最新即時的法律知識!