2013/9/29

使用雲端服務會不會違反個人資料保護法?


個人資料保護法(簡稱個資法)已經在民國 101 年 10 月 1 日實施了,雖然從法令保護了個人資料安全,不過卻也造成產業的一陣恐慌,深怕一個不慎就觸犯了個資法。(最高罰金可至 2 億)
網路上各類文章都有討論個資法的一些注意事項,但其實就企業採用雲端服務是否違反個人資料保護法,卻並未有比較明確的討論或說明。
其實詳細分析個資法條文,第 1 條就提到個資法主旨是在規範個資的「蒐集、處理及利用」。
第 5 條則說明了「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯」,表示個人資料的使用應該在當初向當事人告知的使用範圍內使用。
第 8 條則說明了哪些情形應告知當事人個資的使用方式與其權益。
第 11 條則說明應該於使用目的消失後依據當事人請求銷毀個資。
第 12 條說明了若違反個資法規定導致個資被竊取、洩漏或竄改時應查明後告知當事人。
由於企業屬非公務機關,個資法從第三章,第 19 條至 27 條間說明了非公務機關針對個資的利用方式,其中比較跟「雲端服務」有關係的,就是第 21 條有關國際傳輸的規定,但除非有條文內的相關限制狀況,不然其實使用雲端服務是沒問題的。
第四章,第 28 條開始條文在規定相關罰則,而最跟企業切身相關的,就是第 29 條:
「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
依前項規定請求賠償者,適用前條第二項至第六項規定。」
也就是說,企業若能夠舉證非故意或無過失者,就能夠免除賠償責任,這部份完全就要看企業在保護個資上的舉措,是否符合法令規定。
若沒有良好內控機制,也有可能發生自己建置在內部的系統,因為管控方式不佳,結果個資外洩而被罰款的案例
使用雲端服務,從法令精神上並不會違背個資法,相反地,對企業來說,若適當搭配使用雲端服務,還可以降低自己管理個資的成本,減少因內部人為外流、控管機制不足或保管不善導致被求償的風險。