法律與教育小魔女-一個後山花蓮來的鄉下孩子，在北縣成功打拼的真實血淚奮鬥故事。

個人資料保護法新修正條文已於今年5月26日公布，既有證照與登記制業已廢除，至於其他新修正條文，將由行政院訂定施行日期，預計將在未來一年至一年半後施行。由於新法將不分行業，一體適用，過去並未適用個資法的企業應提早自我體檢，並建立有關制度以便因應，目前已適用個資法者，亦應因應新法有所準備。

首先，企業應清點所持有個人資料究竟有那些。一般公司即使不以個人為交易對象，而未建立個人客戶資料庫，但至少都會蒐集員工個人資料。公司應了解所蒐集個人資料的內容與種類，並核對是否為新法「個人資料」定義所涵蓋。企業如有蒐集新法第6條所定「醫療、基因、性生活、健康檢查及犯罪前科」等個資，應注意除非有新法所規定事由，該等資料原則上禁止蒐集處理與利用。

企業經營有可能主張之法定事由包括「法律明文規定、履行法定義務所必要、自行公開或已合法公開、基於醫療、衛生或犯罪預防目的所為之學術研究」等，如企業沒有法定事由可以主張，未來新法上路後，即應停止蒐集、利用與處理。

接著應清查企業目前蒐集個人資料的途徑與方式，確認是否與新法規定相吻合。企業蒐集個人資料時一定要有「特定目的」，且應符合「蒐集」有關規定。一般而言，為經營業務，如與當事人訂有合約，或正進行簽約準備時，企業應已具有特定目的並符合個資法有關蒐集之規定。因此企業所應注意者，乃係非自當事人處所取得的個人資料，以及非因簽約或履約所取得之個人資料。在新法規定下，企業經營業務而可據以合法蒐集個人資料之其他事由包括：「法律明文規定、當事人自行公開或合法公開、經當事人書面同意、與公共利益有關」以及「取自於一般可得來源之個人資料」。

所謂「一般可得來源」根據法務部說明顯示，包括在網際網路上可得搜尋的個人資料。

再者，企業應確認使用個人資料之用途是否在所據以蒐集「特定目的」範圍內，如逾越特定目的必要範圍，則企業必須具有法定事由。正常狀況下，企業經營業務所得主張法定事由，主要為「法律明文規定」以及「當事人書面同意」。

此外，新法增加「告知義務」規定，於取得當事人對於個人資料蒐集以及特定目的外之使用之書面同意時，應將若干法定事項告知當事人，如個人資料非自當事人直接取得時，在處理以及利用前，亦應對當事人盡告知義務；新法亦規定在施行後一年內，應就施行前非自當事人取得個人資料完成有關之告知事宜。

新法更賦予企業「維護個人資料安全」義務，是以企業必須建立個人資料安全維護措施，以保護所蒐集個人資料之安全。

就此，未來企業更需要藉由標準作業流程，建立有效個人資料管理制度以及安全維護措施，進行風險控管，避免或減輕個人資料外洩或非法使用責任。是以，企業在完成自我體檢後，係應立即採取具體行動，建立個人資料管理制度以及標準作業流程，一方面確保企業個人資料之蒐集以及使用符合法令規定，另一方面則藉由流程控管降低有關風險。

（作者是理律法律事務所合夥律師，本文未必代表事務所意見）