↑資策會科法所專案經理王德瀛分享辦法要求的「適當安全維護措施」,核心其實就是「風險控管流程」。(圖/吳娜恩)
文/吳娜恩
台灣個資事故頻生,今年5月31日《個人資料保護法》修正案正式生效,加重未採安全措施處罰,取消舊法先限改再開罰,改直接開罰2到20萬元再限改,未改正再重罰15到1500萬元,且機構代表人若無法證明盡防止義務,受同一額度處罰。個資法日益嚴峻,私立長期照顧服務機構該如何因應?資策會從法規面到實務操作,引領私立長照機構提高消費者信賴度。
經濟部技術處指導、資策會科技法律研究所主辦的「112年度健康大數據法制座談會」,9月7日上午在「Cares Expo Taipei 台北國際照顧博覽會」舉行。資策會科法所組長林冠宇致詞表示,照護產業所蒐集的個資既多且雜,如何評估及擬定安全維護措施,實非易事,盼透過座談會交流,提升照顧產業個資管理能力。
資策會科技法律研究所7日主辦的「112年度健康大數據法制座談會」,吸引數十位長照產業專業人士與會。(圖片來源/吳娜恩)
個資安全維護辦法已上路!稽查在即
「長照業個資運用合法趨勢」主講人、資策會科法所專案經理王德瀛在會中指出,因應個資法修正,衛福部也在去年完成發布「私立長期照顧服務機構個人資料檔案安全維護計畫實施辦法」(下稱「辦法」),針對200床以上機構,要求業者制定安全維護計畫,給1年時間、也就是今年6月22日施行,安排檢查看有無落實。
王德瀛當場問與會者:「在場有處理過個資業務嗎?」台下近8成參與者默默搖頭。他直言,法條提及「適當安全維護措施」乍聽讓人無所適從,但核心其實就是「風險控管的流程PDCA」(PDCA,指Plan、Do、Check、Act),先想要怎麼做後再執行、檢查做得好不好,重新調整作法,後續持續改善進步。
6項特種個資要當心
計劃個資管理前要懂分辨什麼是個資,王德瀛說明,「看這資料就知道是誰的就是個資」,包含名字、身分證號碼、病歷號碼等。「長照業個資合法實務做法」主講人、資策會科技法律研究所研究員李怡親也補充,個資法第6條明定,病歷、醫療、基因、性生活、健康檢查及犯罪前科等6項屬特種個資,原則上不得蒐集、處理與利用。
資策會科技法律研究所研究員李怡親提醒,病歷、醫療、基因、性生活、健康檢查及犯罪前科等6項屬特種個資,原則上不得蒐集、處理與利用。(圖片來源/吳娜恩)
而個資管理的歷程,始於最初「蒐集」就要明確告知目的與用途,「處理」指建檔、編輯、檢索或內部傳送等,「利用」指第二階段處理以外的用途,如行銷是最大的利用樣態,再到最後的「銷毀」,要明訂業務終止後的各資處理方法,辦法第14條規範,紀錄至少要留存5年。王德瀛提醒,「政府稽查時間很短,保存有做銷毀動作的證據很重要」。
個資專責/稽核人員不可兼任
王德瀛指出,按辦法第7條規範,要設有專責人員與查核人員,且兩者不可互相兼任。他提醒「專責」不是專職,可由機構現有法遵或資訊人員兼任,合適人選最好得具備個資法專業知識、長照產業知識及基礎資安知識,或可參加TPIPAS(台灣個人資料保護與管理制度),進行30到40小時培訓,更能從容勝任。
最後,王德瀛分享說:「Data is the new oil.資料是新時代的石油!」但前年CISCO(思科)調查發現,超過50%台灣民眾對醫院、學術機構,甚至政府單位等的個資保護沒有信心,2019及2020年資料顯示,隱私度投資平均回報率都在200%以上,個資隱私保護愈提升,就愈能贏得消費者信賴,增加產業競爭力。
「Cares EXPO Taipei 2024 第五屆台北國際照顧博覽會」2024年9月12日~9月14日南港展覽館1館再見,更多資訊請點此
喜歡這篇文章嗎? 加入會員 即可收藏文章、產品及供應商