當我們談論個資保護時,目光往往聚焦在擁有大量會員的電商或社群平台。然而,對於傳統製造業與B2B供應鏈而言,個資風險並未消失,而是以更隱蔽的形式,潛藏在日常的人事管理、廠區監控與供應鏈協作之中。
為此,經濟部已頒布製造業及技術服務業個人資料檔案安全維護管理辦法(下稱安維辦法),引入 PDCA(Plan-Do-Check-Act)的管理方法,為相關業者提供了明確的法遵框架。本篇將先解析安維辦法下的核心管理義務,再結合法規要求,聚焦於 B2B 場景下較常見的個資議題。
一、安維辦法適用對象
根據安維辦法第 2 條以及附表一,其適用對象為「保有消費者個人資料達五千筆以上」的製造業及技術服務業業者。其定義的行業範圍非常廣泛,主要包含:
(一)製造業
從食品、紡織、成衣、化學、藥品、橡塑膠、金屬、電子零組件、電腦、汽車,到家具、醫療器材等,幾乎涵蓋了所有製造領域。
(二)技術服務業
包含產業用機械設備維修及安裝業、技術檢測及分析服務業、研發服務業、專門設計服務業等。
以上附表一中所列的製造業或技術服務業,一旦達到個人資料筆數的門檻,就必須在 6 個月內訂定「個人資料檔案安全維護計畫」。若後續因資料刪除等因素,導致保有筆數連續 2 年未達 5000 筆,則可停止計畫的執行。如又恢復到 5000 筆資料,則須在 30 日內恢復本計畫全部之執行。
二、安維辦法下的資安系統 SOP
製造業安維辦法對企業的內部管理設下了具體的 SOP 要求,是所有受規範的企業都必須建立的機制:
(一)配置管理人員及資源(安維辦法第 3 條)
企業應依其業務規模及特性,配置管理人員及相當資源,負責規劃、訂定與執行安全維護計畫。
(二)定期清查與風險評估(安維辦法第 4、5 條)
企業應定期清查所保有的消費者個資檔案與筆數,界定計畫範圍,並依據風險評估結果,採行適當安全措施。
(三)建立詳細的內部管理程序(安維辦法第 7 條)
法規要求業者必須建立一套完整的內部 SOP,內容涵蓋如何檢視蒐集、處理、利用的合法性;如何處理當事人行使權利;以及如何在目的屆滿後刪除資料等 9 項。
(四)落實資料與設備安全管理(安維辦法第 8 至 12 條)
- 技術面:企業應採取加密、備份、安全傳輸等措施,並在使用資訊系統時,建置防火牆、安裝防毒軟體、設定認證機制等。
- 人員面:企業應與員工約定保密義務、依業務需求設定存取權限並定期檢視、在員工離職時確實移除權限且要求返還資料。並對所屬人員定期施以個資保護的認知宣導及教育訓練。
- 資料面:企業應對存有個資的紙本、電腦、磁碟等儲存媒介物,建置保護設備、訂定管理規範,並對存放環境施以進出管制。
(五)事故應變與通報(安維辦法第 6 條)
當個資外洩事故危及正常營運或大量當事人權益時,應於知悉後 72 小時內通報經濟部。此為安維辦法在個資法外新增之義務,補充了個資法第 12 條僅要求通知當事人之規定。
(六)稽核與紀錄保存(安維辦法第 13、14 條)
企業應建立內部安全稽核機制,定期或不定期檢查計畫執行狀況。此外,個資的蒐集、處理、利用紀錄、軌跡資料等,應至少保存 5 年。
三、產業議題:人資管理的個資地雷
人資部門是企業內部處理最多員工個資的單位,從招募、在職到離職,每個環節都充滿了個資保護的細節。
(一)員工個資的蒐集
- 履歷:求職者提供的履歷,包含大量個資。企業在未錄取求職者後,蒐集目的已經消失,即應刪除其履歷資料,不可無限期地存放在人才庫中,除非已取得當事人的明確同意。
- 健康檢查報告:這屬於「特種個資」,企業僅能在法律(如職業安全衛生法)要求的範圍內蒐集,且必須採取更高等級的保護措施,嚴格限制存取權限。
- 績效考核:考核內容涉及員工的個人評價,也屬於個資的一部分,應妥善保管,不得任意公開。
(二)離職員工的資料保存
員工離職後,其在職期間的個資(如薪資、出勤紀錄)因涉及勞動法規、稅務申報等法定義務,仍有必要保存一定年限。但應注意的是,保存期限應以「法定義務所需」為限,期限屆滿後即應刪除或銷毀。
四、產業議題:廠區安全與員工隱私的平衡
為了維護廠區安全與管理秩序,製造業普遍會安裝監控設備。然而,這些措施必須在「維護安全」與「尊重隱私」之間取得平衡。
(一)監視器(CCTV)的安裝
- 告知義務:建議企業在監控區域的入口處,以明顯的標示(如告示牌)告知員工與訪客此處設有錄影設備。
- 目的限制:監視器的設置目的應限於「維護廠區安全」、「防止財產損失」等正當目的。若將監視器用於監控員工的工作效率,或安裝在休息室、廁所等高度隱私場所,則極可能逾越目的,構成侵權。
(二)門禁刷卡與 GPS 定位
門禁刷卡紀錄、車輛的 GPS 定位數據,都屬於員工的個人資料。這些數據若用於員工的出勤管理或確認車輛位置,通常被認為符合蒐集目的。但若將其用於分析員工的日常行為模式、社交網絡等,就可能產生目的外利用的爭議。
五、產業議題:供應鏈中的個資流動
在 B2B 的商業模式中,企業間為了完成訂單或提供服務,交換客戶或聯絡人資料是家常便飯。然而,這種資料流動也伴隨著法律風險。
(一)委託監督義務(安維辦法第 7 條第 6 款)
企業若將客戶的聯絡資料(例如:收貨人姓名、電話)提供給物流公司或下游承包商時,本質上就是一種個資的「利用」行為。而當企業委託下游廠商蒐集、處理或利用個資時,安維辦法明確課予了委託方「監督」的責任。企業必須確保此舉符合當初蒐集資料時的「特定目的」,並已向當事人履行告知義務。
為了落實此義務,最佳的實務作法就是在供應商合約中,加入個資保護與保密的條款,或另外簽訂一份保密協議(Non-Disclosure Agreement, NDA)或資料處理協議(Data Processing Agreement, DPA),並於其中明確約定,受託的供應商必須遵循與委託方同等的個資保護標準、雙方責任歸屬,以及事故發生時的協同處理機制。
(二)跨境傳輸的特殊要求(安維辦法第 9 條)
若供應鏈涉及跨國合作(例如:將資料傳給海外原廠或客戶),則構成了個資的國際傳輸。此時,企業除了應檢視是否受到經濟部的傳輸限制外,更必須告知當事人資料所欲傳輸的區域,並對海外的資料接收方進行監督,確保其保護水準不低於我國要求。
六、產業議題:營業秘密 v. 個人資料
對於 B2B 企業而言,「客戶名單」往往是公司最重要的「營業秘密」。然而,這份名單同時也包含了客戶聯絡人的「個人資料」,使其具備了雙重法律身分。企業必須同時滿足營業秘密法與個資法兩部法律的保護要求。
原則上企業為了保護營業秘密,會對客戶名單進行嚴格的存取控管,這點與個資法的安全維護要求一致。然而,當客戶聯絡人(個資當事人)依個資法前來主張「請求閱覽或複製」其個人資料時,企業就必須在「保護營業秘密的利益」與「尊重當事人個資權利」之間,尋求合法的平衡點。
七、結論:將個資保護內化為內部營運規範
製造業與技術服務產業的個資風險,不像 B2C 產業那樣明顯,卻隱藏於日常的人事與營運管理流程中。隨著安維辦法的施行,主管機關對於企業內部控制與安全措施的要求已日益具體。要有效控管這些風險,關鍵在於將個資保護的意識,從法務部門延伸到人資、廠務、採購等所有業務單位,並建立一套清晰、可執行的內部作業規範,才能從根本上預防爭議的發生。
若企業對於如何制定符合製造業安維辦法的個資保護計畫、盤點內部資料流程,或是有其他供應鏈相關的法遵議題,可以參考經濟部提供的懶人包或導入說明手冊,也歡迎與本所聯繫,讓專業團隊協助建構穩固的合規防線。