企業在進行個人資料(以下簡稱為個資)蒐集處理時,泰半涉及委外處理,無論是雲端空間租用、資料儲存程式、消費者活動協助辦理等等,由於被委任蒐集處理個資的廠商(GDPR稱為processor),都是按照委任公司的指示(GDPR稱為controller),是故許多國家的個資法要求controller應對processor進行一定程度的監督。論其實質,controller的法遵(compliance)亦必須落實在processor法遵協助之上。當然亞太仍有部分國家未區分controller及processor,企業應各自負擔法遵責任(即日本與紐西蘭,雖然日本仍要求企業應對為其處理個資之委外廠商進行必要與適當之監督)。
首先,GDPR對processor的監督仍仰賴以簽署合約條款方式進行拘束,在合約中建議將processor應
履行之合約義務完整羅列出來,
包含科技安全機制、保密、個資接觸使用權限、個資留存期限、個資主體行使權限之協助、個資事故期限內回報、回覆主轉機關之協助、同意controller查核權、複委任時應盡之義務等等。
亞太其餘各國規範與GDPR類似,以簽署合約條款方式進行監督,或未有明確之規範。在委外廠商管理上,台灣個人資料保護法規相範之下較為嚴格,法規要求contoller「定期」管理監督processor(個人資料保護法施行細則第八條),雖然應如何定期如或何監督未有詳細規定。惟controller若無任何善盡監督之紀錄,於processor違反個資法時, 將難以免除其責。
實務上的狀況是,往往controller對自己企業內部的法遵程度都在建構與摸索,要如何確保processor法遵程度施行起來並不容易。也許西方國家較大的跨國企業備置內部法務,或有外部專業律師協助審約,針對合約條款的簽署有了解之意願與能力,以合約條款簽署進行processor法遵規範始有實質上的意義。筆者以為,東方社會下的中小企業間的合約簽署,恐多未認真仔細研讀合約條款,僅仰賴合約條款簽署作為監督無法落實法遵義務。
筆者在實際工作上就面臨了如何落實國內委外廠商監督,初期執行起來有一定的挑戰。而筆者在擔任亞太個資專門事項法律顧問時,也有不少國家法務律師諮詢筆者應如何確認委外廠商法遵,有無全球統一參考標準或建議流程,可見這是一個對於國內外法務律師一致的隱憂。筆者在此分享身為外商公司台灣法務律師時,如何設計制度架構如下,以期實踐委外廠商個資法遵監督經驗,僅供參考。
筆者當時要求各部門提供協助蒐集處理個資廠商清單,再逐筆洽詢各部門承辦人員所提供廠商進行何種個資蒐集處理服務。為提高所有廠商法遵意識,筆者舉辦個資訓練邀請各廠商參與,於會後再針對個資蒐集處理風險較高的廠商進行更進一步文件簽署以及電話訪談,而筆者下一年度的定期監督即按前一年度調查狀況確認後續執行動態,期以確保委外廠商確實了解個資法遵為何並切實遵循。聽聞筆者建議後,諮詢之外國法務律師們都能理解這是一樁浩大費時的工程,也必須仰賴各部門的合作協助始能完成。
如何進行個資蒐集處理,協力廠商委外監督絕對是在個資法遵上重要的議題,然應如何進行始能確實,又不至於造成企業自身與委外廠商過多負擔則須加以考量,以上僅提出各國法規規範、現今實務情況與筆者經驗分享做一個思考的討論方向,相信實務界逐年累積經驗摸索後,日後制度之建立將更加完善。
