PROFILE / 系統簡介

BS 10012是2009年英國發布的標準,此標準不論是公務機關、非營利組織或民營企業,都屬於個人資料的管理單位。管理單位有責任對於從事工作業務相關的個人資料的蒐集、利用、處理、傳遞、保存和銷毀。對於個人資料的存取、利用、傳遞等作業,任何執行過程的軌跡流程都應該有專責的人員或專責的單位。

BS 10012的標準要求個人資料的管理單位,應該在建立個人資料管理系統前先檢視管理單位的作業流程,再盤查作業流程中屬於「個人資料」,及建立「個人資料盤查清單」,明確定義管理單位所蒐集的個資。依據台灣個資法定義「個人資料」包括:自然人姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、連絡方式、財務狀況、社會活動等等。

 

個人資料依據屬性之不同科以區分其重要性,其中「」病歷、醫療、基因、性生活、健康檢查、犯罪前科」屬於特種個資,一般的管理單位不得蒐集。

 

個人資料應該清楚界定哪些資料該被保護,及其被保護的層級。例如,由誰存取、複製、傳遞個人資料,管理單位對於個人資料流經的過程必須能夠清楚掌握,依據個人資料的風險高低,進行適當地設置控管機制,管控個人資料的進出並做紀錄。

 

台灣的個資法已經在2010年5月頒布,對公務機關、非營利組織或民營企業都有廣泛的衝擊與影響。尤其是現今電腦網路資訊發達,商業行銷與交易行為種類及數量繁多,企業應該積極著手制訂相關的管理辦法與購買必要的電腦軟硬體,避免客戶或員工的個人資料被洩漏、竊取或竄改等等。個資法的相應罰則也提醒企業不可忽視個資的重要性,以免引發經營的危機。

REPORT / 新聞稿

ARTICLES / 文章分享

  • 2012.02.07

    組織為何需要建置BS 10012個人資料管理系統?

    BS 10012是英國在2009年發布的規範(Specification),主要是針對個人資料的訊息保護,全名是『BS10012資料保護-個人資訊管理系統的規範』。BS 10012規範期望建構基於法規的最佳實務與符合性,是第一個個人資訊管理的標準。

     

    BS 10012 提供一個架構以達成個人資訊的有效管理,它可以被任何規模、產業的組織所使用,並可以適度地依據需要剪裁以符合組織的要求。對於訓練、風險管理、資料分享、保管及處置,與對第三者揭露…等皆涵蓋其中。

     

    台灣的『個人資料保護法』已經於2010年5月26日完成修訂,目前其施行細則還在舉行公聽會中,預計不久的將來,施行細則一經頒布,必然引起大眾的廣泛關注。當今資訊發達,不管是公營、民營的組織,也不論是營利或非營利的組織,都會因為不同的使用需求,取得來自個人的資料。這其實也是將個人資料暴露在風險之中,因為任何組織如果沒有妥善管理好取得的個人資料,引起個人資料的洩漏,未來極有可能造成訴訟,組織的風險也伴隨而至。

     

    因此,重視個人資料的保護將成為組織不可忽視的管理活動之一。而BS 10012是一套管理個人資料的系統,建置BS 10012並將個人資料保護法納入該管理系統中,以完整構築個人資料管理系統,是組織應該走的路。

     

    BS 10012標準的內容也是依據管理循環PDCA所構成,其中分成第0章到第6章,主要內容按照P、D、C、A的順序,內容分別列在第3章到第6章,包括第3章『規劃』、第4章『實行與運作』、第5章『監督與審查』及第6章『改善』等等。唯有透過系統性的管理機制,才能降低組織遭受個人資料保護法的風險與衝擊。

  • 2016.04.25

    個人資料保護專欄(五)-個人資訊管理系統(BS 10012)

    個人資訊管理系統(BS 10012)

    目的:

      英國個人資料保護領域的關鍵立法是《1998年資料保護法》(Data Protection Act 1998, DPA),該法令實踐了適用於「個人資料」的一項歐洲指令,而根據《1998年資料保護法》的定義,「個人資料」係指可識別存活之人有關的資訊。

      《1998年資料保護法》是由資訊委員管制和施行,負責促進個人資訊之保護,職責包括核定指引來推動優良實務,裁決符合條件的訴怨,提供資訊給個人和組織,並在法律被違反時採取適當行動。資訊委員有權調查訴怨、評估相關處理方式是否符合《1998年資料保護法》,並核發資訊和施行通知。

      個人資訊管理系統(Personal Information Management System, PIMS, BS 10012)使用「個人資訊」取代「個人資料」,目的是讓組織能夠備妥個人資訊管理系統,作為整體資訊治理基礎設施的一部分。同時,本標準乃是為任何規模及部門的組織而設計,只要是在組織內負責發起、實行和維持個人資訊管理系統的人員均可使用。目的是為個人資訊的管理提供一個共同的基礎,進而對個人資訊的管理產生信心,並讓內部和外部的評估人員有效評估組織遵循資料保護法律及優良實務的狀況。

      本標準採用管理循環「計畫、執行、查核及處置(Plan-Do-Check-Act)」,可以提供一個架構讓組織能維持和改善對資料保護法律及優良實務的遵循

    待續…

  • 2016.10.28

    個人資料保護專欄(十一)-個人資訊管理系統(BS 10012)法規架構及重點說明

    國際個人資料保護管理系統內容說明

    一、  個人資訊管理系統(BS 10012)

     

     

     

    1、      法規架構:

    於個人資訊管理系統(Personal Information Management System, PIMS, BS 10012)(以下簡稱本系統)規範中,主要可分為以下章節架構:

    (1)     簡介(Introduction);

    (2)     範圍(Scope);

    (3)     名詞、定義與縮寫(Terms, definitions and abbreviations);

    (4)     規劃個人資訊管理系統(Planning for a personal information management system(PIMS));

    (5)     實行與運作個人資訊管理系統(Implementing and operating the PIMS);

    (6)     監督與審查個人資訊管理系統(Monitoring and reviewing the PIMS);

    (7)     改善個人資訊管理系統(Improving the PIMS)。

    2、      法規內容重點說明:

    本系統架構乃是基於英國《1998年資料保護法》﹝1﹞該法令實踐了一項歐洲指令﹝2﹞且是用於「個人資料」,而根據《1998年資料保護法》的定義,個人資料係指與可識別存活之人有關的資訊。本英國標準使用「個人資訊」取代「個人資料」。

    而其中對於個人資訊管理系統(BS 10012)最基本的八大資料保護原則,更揭櫫「資料控制者」對於其所保有之個人資料必須:

    (1)     個人資料不可以非法或不公正方式蒐集、處理(fairly and lawfully processed);

    (2)     個人資料僅為具體指明的目的取得,且不得受到不符合此等目的的方法處理(obtained only for specified purposes and not further processed in a manner incompatible with those purposes);

    (3)     個人資料應以充分、相關,而非逾越其原本之目的處理(adequate, relevant and not excessive);

    (4)     個人資料應正確且最新(accurate and up-to-date);

    (5)     個人資料保留時間不超過必要程度(not kept for longer than is necessary);

    (6)     個人資料處理方式應符合法律賦予個人的權利,包括標的存取權(right of subject access ,processed in line with the rights afforded to individuals under the legislation, including the right of subject access);

    (7)     組織應採取適當的資料保護技術和措施,防止個人資料遺失或毀壞(kept secure);

    (8)     不在未受到適當保護的情況下被移轉到境外的國家(not transferred without adequate protection)。

    待續…

  • 2016.10.28

    個人資料保護專欄(十二)-個人資訊管理系統(BS 10012)維持與提升符合資料保護之法規與良好實踐之架構

    個人資料保護專欄(十二)-個人資訊管理系統(BS 10012)維持與提升符合資料保護之法規與良好實踐之架構 作者:科建顧問
     

      

    個人資訊管理系統(BS 10012)具體說明對個人資料保護管理系統的各項要求,提供了一個架構,讓組織能維持和改善對資料保護法及優良實務的遵循,目的便是希望協助組織建立個人資訊管理系統(BS 10012),作為整體資訊治理基礎的一部分,並應用「Plan」、「Do」、「Check」及「Act」循環「計畫、執行、查核及處置(PDCA)」,提供一個維持與提升符合資料保護之法規與良好實踐之架構,關於本系統之說明敘述如下:

     

    規劃個人資訊管理系統(BS 10012):

                                                            ①.  定義組織中本系統的範圍與目的:例如建立個人資料保護要點;

                                                            ②.  建立個資保護管理政策:政策應聲明適用範圍,例如全組織或部分單位;

                                                            ③.  指派適當人員角色職責:例如指派一至多位專業人員負責平時運作;

                                                            ④.  提供足夠的資源:組織在建置、實施、運作及維護本系統過程中,應提供所需的資源;

                                                            ⑤.  將本系統與組織文化契合:例如與組織現有的管理制度、程序進行整合運作,降低對人員日常作業的衝擊影響。

    (1)    建置與運作個人資訊管理系統(BS 10012):

                                                        ①.  指派負責人員:確保組織依據其個資管理政策,指派適當的負責人員;

                                                        ②.  識別與記錄個資的用途:個資之識別可從業務流程或服務目錄著手,主要辨別個資對於流程與活動利害關係人的風險,分析個資的類別,在其不同生命週期的型態、相關文件、支援系統及彼此間的介面,做為後續風險評鑑的重要輸入來源;

                                                          ③.  教育與認知:確保所有人員能夠認知其在處理個資時的職責;

                                                          ④.  風險評鑑:確保組織認知當在處理特定類型的個資時之相關風險;

                                                          ⑤.  其他本系統日常運作活動:包括公平與合法的處理個資、告知流程、維持本系統為最新狀態、當事人權利、個資保留與銷毀、委外處理流程、對第三方揭露、安全議題及資料正確性等資料。

    (2)    監督與檢視個人資訊管理系統(BS 10012):

                                                            ①.  內部稽核:例如稽核規劃、稽核員選擇及稽核要求等;

                                                            ②.  管理審查:審查項目應來自個資管理系統使用者之回饋意見、人員所發現並呈報之風險、稽核結果、程序審查紀錄、技術升級或更換的結果、主管機關的正式評鑑要求、抱怨處理及已發生的違反安全事故等。

    (3)    改善個人資訊管理系統(BS 10012):

                                                              ①. 預防措施與矯正行動:所有變更或改善的建議,應於實施前進行評估,以符合政策上的要求;

                                                              ②. 持續改善活動:透過稽核結果、矯正預防措施及定期檢視的作法,以持續改善本系統的有效性。

    (4)    PDCA方法論:

    管理循環「計畫、執行、查核及處置(Plan-Do-Check-Act)」,PDCA方法論,說明如下:

                                                                   ①.  計劃(Plan):建立個人資料保護管理制度之政策、目標及相關程序;

                                                                   ②.  執行(Do):個人資料保護管理制度之實施;

                                                                   ③.  檢查(Check):依據個人資料保護管理制度之政策、目標及要求,評估與監督流程及其產出,並將結果回報給最高管理階層加以審查;

                                                                   ④.  行動(Act):採取措施,以持續改善個人資料保護管理制度之績效。

     

    …待續

Q & A / 問答集

ALBUMS / 活動花絮

PROJECT / 輔導實例