蔡毓贞律师、许芸玮律师、许家绮实习律师
现今各类著作之规模、形式与利用方式日益多元复杂,为便利著作管理,著作财产权人可与集体管理团体(下称「集管团体」)签订管理契约,委托其代为行使权利。而鉴于集管团体为多数著作财产权人管理著作、收取及分配保有大量且重要之个人资料档案,若疏于建立事前安全计划与事后相关应变与检讨机制,将使著作权人个人资料及相关权益暴露于不合理风险。
集管团体作为著作权人之受托机构,对于个人资料之安全维护应负有相关责任,我国经济部依据个人资料保护法第二十七条第三项授权,于110年9月7日预告订定著作权集体管理团体个人资料档案安全维护管理办法(下称「草案」),征求书面意见的预告期间为60日(110年11月6日届满)。草案重点及相关建议概述如下。
一、管理办法之摘要
(一) 集管团体应依其业务规模,合理分配经营资源,配置管理人员,以规划、订定、执行与修正个人资料档案安全维护计划,并应订定稽核机制。(草案第二条至第三条)
(二) 集管团体应评估个人资料相关风险,建立应变及通报机制以因应个人资料被窃取、窜改、毁损、灭失或泄漏等事故,并规划著作权专责机关后续行政检查措施。(草案第四条)
(三) 明定个人资料之管理措施、应行告知义务、委托他人搜集、处理或利用个人资料之监督、利用个人资料为国际传输前应遵循事项、当事人行使权利之方式、确保个人资料正确性之措施。(草案第五条)
(四) 集管团体应考虑业务性质、个人资料存取环境、个人资料传输之工具与方法及个人资料之种类、数量等因素,就信息安全、作业安全及设备安全等三事项采取适当之管理措施。(草案第六条至第九条)
(五) 明定集管团体执行个人资料之安全维护,其纪录保存事项及业务终止后个人资料之处理方式。(草案第十条)
(六) 明定「个人资料侵害事故通报与纪录表」,集管团体遇有个人资料安全事故,有危及正常营运或大量当事人权益时,应填列本记录表,通报著作权专责机关。(草案附件)
二、因应管理办法的建议注意事项
本草案共计11条,目的在防止与处理个人资料被窃取、窜改、毁损、灭失或泄漏之事故,就集管团体对个人资料维护与管理之议题,制定细节性的规范,包含要求集管团体健全个人资料档案安全维护计划以降低数据遭不当使用与毁损灭失之风险;要求集管团体建立个人资料安全事故发生时之因应机制与研议改善措施;要求集管团体衡酌业务与数据本质与态样,采取适当之信息安全、作业安全及设备安全之管理措施。本草案规范重点涵盖事前风险之预防与事后事故之因应,配合前述规定,集管团体应依规范要求规划完整的个人资料保护措施,并建立相关事故发生后的因应与检讨机制。