蔡毓貞 律師、許芸瑋 律師、許家綺 實習律師
現今各類著作之規模、形式與利用方式日益多元複雜,為便利著作管理,著作財產權人可與集體管理團體(下稱「集管團體」)簽訂管理契約,委託其代為行使權利。而鑒於集管團體為多數著作財產權人管理著作、收取及分配保有大量且重要之個人資料檔案,若疏於建立事前安全計畫與事後相關應變與檢討機制,將使著作權人個人資料及相關權益暴露於不合理風險。
集管團體作為著作權人之受託機構,對於個人資料之安全維護應負有相關責任,我國經濟部依據個人資料保護法第二十七條第三項授權,於110年9月7日預告訂定著作權集體管理團體個人資料檔案安全維護管理辦法(下稱「草案」),徵求書面意見的預告期間為60日(110年11月6日屆滿)。草案重點及相關建議概述如下。
一、管理辦法之摘要
(一) 集管團體應依其業務規模,合理分配經營資源,配置管理人員,以規劃、訂定、執行與修正個人資料檔案安全維護計畫,並應訂定稽核機制。(草案第二條至第三條)
(二) 集管團體應評估個人資料相關風險,建立應變及通報機制以因應個人資料被竊取、竄改、毀損、滅失或洩漏等事故,並規劃著作權專責機關後續行政檢查措施。(草案第四條)
(三) 明定個人資料之管理措施、應行告知義務、委託他人蒐集、處理或利用個人資料之監督、利用個人資料為國際傳輸前應遵循事項、當事人行使權利之方式、確保個人資料正確性之措施。(草案第五條)
(四) 集管團體應考量業務性質、個人資料存取環境、個人資料傳輸之工具與方法及個人資料之種類、數量等因素,就資訊安全、作業安全及設備安全等三事項採取適當之管理措施。(草案第六條至第九條)
(五) 明定集管團體執行個人資料之安全維護,其紀錄保存事項及業務終止後個人資料之處理方式。(草案第十條)
(六) 明定「個人資料侵害事故通報與紀錄表」,集管團體遇有個人資料安全事故,有危及正常營運或大量當事人權益時,應填列本記錄表,通報著作權專責機關。(草案附件)
二、因應管理辦法的建議注意事項
本草案共計11條,目的在防止與處理個人資料被竊取、竄改、毀損、滅失或洩漏之事故,就集管團體對個人資料維護與管理之議題,制定細節性的規範,包含要求集管團體健全個人資料檔案安全維護計畫以降低資料遭不當使用與毀損滅失之風險;要求集管團體建立個人資料安全事故發生時之因應機制與研議改善措施;要求集管團體衡酌業務與資料本質與態樣,採取適當之資訊安全、作業安全及設備安全之管理措施。本草案規範重點涵蓋事前風險之預防與事後事故之因應,配合前述規定,集管團體應依規範要求規劃完整的個人資料保護措施,並建立相關事故發生後的因應與檢討機制。