個人資料(以下簡稱為個資)保護上常聽到個資影響評估(PIA—privacy impact assessment)這個用語,雖然目前台灣個人資料保護法並沒有很清楚規範個資的蒐集處理,必須在什麼樣情形下應進行影響評估(個人資料保護法施行細則第十二條),然而跨國公司也將涉及在他國蒐集處理資料而應當有所了解,甚至良好的公司治理制度下,亦常見公司內部自我要求對於個資蒐集處理風險較高的行動進行個資影響評估。台灣也有以政府推動的個人資料管理制度,由財團法人資訊工業策進會科技法律研究所擔任維運機構,推廣隱私保護標章dp.mark,其中的個資盤點與風險控管流程就類似個資影響評估概念。
所謂的個資影響評估,就是羅列資料蒐集處理過程的各項行為,包含儲存、目的、風險、合作廠商、保存期限、跨境傳輸等等,網路上Google蒐尋就可以看到參考模板。
進行個資影響評估的目的當然是為了指出風險並降低風險,亦藉由評估表中的事實資料的蒐集,判斷個資之蒐集處理是否符合個資法下各項規範。所以是實用的一個風險評估工具。
但是不是所有的個資蒐集處理都要做個資影響評估呢?首先,在GDPR之下也並未要求所有各資蒐集處理活動都一定要進行個資影響評估。僅要求處理可能導致自然人之權利及自由的高度風險時應於處理前,實行該處理對於個人資料保護之影響評估。尤其在對於自然人之系統性及大規模的個人特質評估,而該評估是基於自動處理,包含建檔,且基於該評估作成關於該自然人之法律效果或其他重大影響該自然人之決定。或是處理大規模之敏感個資,或關於前科及犯罪之個人資料(GDPR第三十五條)。
亞洲其他各國中印度和印尼的規範類似於GDPR,日本、紐西蘭、南韓、新加坡均無強制性規範,澳洲則留給主管機關決定,越南和中國規範較為嚴格,由此也可以看出國家對於個人資料控管的態度,著重經濟自由流通與政府監控的立場法制有所不同—如以GDPR作為一個中間值來看。
實務上參與公司內部個資影響評估的部門通常是抱怨連連,然而筆者以為,雖然不可否認是麻煩事情一樁,也同時協助部門同仁了解個資蒐集處理之流程,以及流程中應關注的各項要點,有助於進行日後個資蒐集處理行為時更加小心,在目前日益重視個資的趨勢下自然是值得推廣的best practice!