施行細則正式出爐 法規遵循不能再拖

倒數5天，新版個資法就要正式上路，行政院也在此時公佈了個資法施行細則修正條文，

與2011年10月公佈的個資法施行細則草案相比，主要的差異有以下7點：
1.第三條對間接識別個資的定義，移除「但查詢困難、需耗費過鉅或耗時過久始能特定者，不在此限」。
2.重新定義所謂的病歷與醫療：
(1)病歷指的是，醫療法第六十七條第二項所列之各款資料。
(2)醫療指的是，包含病歷及其他由醫師或其他之醫事人員，以治療、矯正、預防人體疾病、傷害、殘缺為目的，或其他醫學上之正當理由，所為之診察及治療；或基於以上之診察結果，所為處方、用藥、施術或處置所產生之個人資料。
3.第五條對個人資料檔案的定義，刪除「軌跡資料」一詞。換言之，Log將不再是個資檔案的範圍。
4.第六條對刪除個資的定義，移除「前項規定，如為事後查核、比對或證明之需要而留存軌跡資料者，得不予刪除」。
5.增列條文：對「法律」、「法定職務」、「法定義務」的定義。
6.增列條文：「本法第七條所訂書面意思表示之方法，依電子簽章法之規定，得以電子文件為之」。
7.刪除第17條部份內容「儲存方式特殊致不能刪除或耗費過鉅始能刪除」。

同時，行政院也修正了特定目的與個人資料類別，特定目的由原本的101項增加至181項，其中第181項為「其他自然人基於正常性目的所進行個人資料之蒐集處理及利用」，一來更切合現行作業需求，二來也能讓公務及非公務機關日後在蒐集、處理與利用個人資料檔案，能夠確保在特定目的範圍內。

除了施行細則和特定目的外，目前企業最關心的就是「非公務機關個人資料檔案安全維護計劃」何時會公布？個資法第27條規定，此計劃由各目的事業主管機關自行訂定，但在先後訪問幾個主管機關的意見後，有些表示目前已有初步草案，有些則指出，待參考法務部所發佈的範本後再做決定。

某證券業資安人員認為，個資法即將上路，企業若以安全維護計劃未公布為理由，沒有任何因應措施，屆時若發生個資事件，一定會被認定違法，而今施行細則既然已正式公告，企業不妨參考第12條所列的11項安全維護措施，逐條執行，待主管機關公佈安全維護計劃後，再將相關條文整併至既有個資/資安管理制度中，這樣才是最佳的因應做法。

原文網址: 施行細則正式出爐 法規遵循不能再拖,Information Security 資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7072#ixzz27oy5vAu7