撰文：高雄律師，王瀚誼律師事務所。

　　大家好，我們今天會向大家討論，關於企業使用客戶、或員工等的個人資料時，有沒有什麼需要注意的地方呢？因為，個資法對於濫用個人資料，不僅有行政、民事、還有刑事責任，所以的確是企業在法律風險上，需要稍加留心的一個地方，詳細請看以下說明：

一、依照產業類別而有不同的主管機關。

　　個資法並沒有設有專職的主管機關，是依照行業標準分類來對應中央目的事業主管機關、或直轄市、縣（市）政府來共同辦理，例如：「化妝品製造業」主管機關為「經濟部衛生福利部」、「半導體製造業」為「經濟部」等，而法務部為有權解釋之機關，另設有「個人資料保護法非公務機關之中央目的事業主管機關列表」，可作為詳細的參考規定。

二、關於何謂合理使用的「特定目的」與「資料類別」。

　　依照個資法第５條規定，個人資料的蒐集、處理、利用，不應逾越特定目的的必要範圍，並且與蒐集的目的具有正當合理關聯，而應如何認定特定目的，進而認定相關的必要範圍呢？

　　於此，法務部依個資法第５３條規定，訂立了「個人資料保護法之特定目的及個人資料之類別」，當中依照產業與業務類別，詳細區分成１８２種特定目的、１３４種個人資料類別，因此在使用他人個資時，可以參考以上規定，來界定出資料蒐集目的與類別，同時也讓大眾對於個資可能被利用的程度與方式，有了一個更清楚的範本可以參考。

　　不過法務部也在立法理由中指出，怕例示規定仍有不足，因此當特定目的、個人資料類別仍屬於上述規定之外時，建議應再詳細說明業務活動，並列入證據文件或個人資料檔案公開事項作業裡面，以補充與澄清特定目的及個人資料類別實質內涵，才是更為保險的做法。

三、何種是保障個人資料的「適當安全維護措施」？

1. 配置管理之人員及相當資源。
2. 界定個人資料之範圍。
3. 個人資料之風險評估及管理機制。
4. 事故之預防、通報及應變機制。
5. 個人資料蒐集、處理及利用之內部管理程序。
6. 資料安全管理及人員管理。
7. 認知宣導及教育訓練。
8. 設備安全管理。
9. 資料安全稽核機制。
10. 使用紀錄、軌跡資料及證據保存。
11. 個人資料安全維護之整體持續改善。

　　依照個人資料保護法施行細則第１２條規定，保障個人資料的「適當安全措施」，約可以分成技術上、組織上的措施，詳細規定於同條第２項中的１１款事項中，如果企業有需要的話，可以酌量參考下述的方式來實行：

（１）應訂定與落實安全維護計畫

　　針對個人資料保護法施行細則第１２條第２項的１１款事由，訂定相關的安全維護計畫，甚至是於電子設備上加設安全防護系統或加密機制、紙本資料銷毀移除之程序，並請專職人員按時落實，視情況也應將安全維護計畫報請主管機關備查。

（２）對所屬員工之個資教育訓練

　　於蒐集、處理、利用、行銷個人資料時，應確實敦請專職人員落實個資法中的事前告知、按時回覆當事人詢問與要求、甚至依法主動刪除予停止利用之等等義務。

（３）定期檢視個人資料保有期限

　　應定期確認個人資料蒐集的目的，與相關的使用期限，若超過必要範圍內的保存期限，且同時沒有保存的必要時，應該立即主動刪除、銷毀、停止蒐集、處理、利用，或是為其他適當的處置。

（４）保存個人資料相關軌跡資料

　　因應個人資料保護法的損害賠償請求權，為客觀損害發生時起的５年內，於是建議企業應將個人資料利用的紀錄，至少保存５年以上，以便日後所舉證需求時，有證據可以使用。

【註】：因各產業的業務差異甚大，主管機關也可能有不同的規範，因此，仍會存有些許的差異喔！