[觀點] 個資蒐集、處理、利用之注意事項

在個人資料保護法裡，隱含了二項重要的精神與要求，其中個人隱私維護是首要項目，它是指必須要在個人資料蒐集、處理、利用的過程中確保個人隱私不會受到侵害，其次則是如何善盡個人資料保護的責任，本文將說明相關的注意事項。

[觀點] 制訂個人資料檔案安全維護計畫

之前，我們談到了個人隱私衝擊分析，其主要目的是要了解組織針對個人資料蒐集、處理、利用的現況，能夠幫助我們針對屬於高風險的個人資料，提出適當的保護計畫與安全措施，本文將說明如何制訂個人資料檔案安全維護計畫。

[觀點] 個人隱私衝擊分析(PIA)之介紹

在個資法第一條提到，「為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。」其中隱私權就是重要的人格權之一，本文將說明何謂個人隱私衝擊分析(PIA)。

無論是公務機關或非公務機關的企業、法人和團體，為了因應未來新版個人資料保護法實施之後，針對個人資料保護的種種要求，許多組織已開始著手來準備，如果仔細地去探究個資法所涵蓋的精神與要求，就會發現其關注的焦點有兩個層面：首先是如何維護個人隱私，其次則是如何落實個人資料保護。

基本上，在個人隱私方面，我們可以透過建立個人資料蒐集、處理和利用的注意事項和作業規範，以確保個人隱私不會受到不當揭露；至於在個人資料保護方面，則可以透過資安技術的應用，降低資訊系統在處理個人資料的過程中，可能會受到入侵、竊取、竄改和干擾的風險，並且達到一定的資料存取防護強度。本期我們就先來探討維護個人隱私的一項重要工作，也就是進行個人隱私衝擊分析(Privacy Impact Assessment, PIA)。

個人隱私衝擊分析目的

在個人資訊管理標準BS 10012的「4.4 風險評鑑」內容中提到，「組織應實施一項流程以評估和處理個資相關人員的風險程度，這項評估也應包括委由其他組織所進行的個資處理，組織需管理由風險評估過程所識別出的任何風險，以降低不符合政策要求的可能。」

簡單來說，為了避免違反法規和政策的要求，我們應針對個資的蒐集、處理和利用的過程，所牽涉到的人員、技術、作業流程，找出其中可能隱含的資訊安全風險，以避免和個資有關的不當事件發生，這也就是所謂的個人資料風險評鑑，而其使用的風險評鑑方法，稱之為個人隱私衝擊分析(PIA)。

因此，個人隱私衝擊分析的目的，就是要協助組織確認在個人資料的蒐集、處理和利用的過程中，相關的資訊系統、控制技術、作業流程和管理政策，是否符合確保個人隱私的基本要求，進行識別並管理其中的風險，以避免不必要的損失和聲譽受損，達成法律法規的要求。

個人隱私衝擊分析方法

有關個人隱私衝擊分析的方法論，各國政府為了因應本身的個資法規要求，所以皆有不同的作法，其中較為知名的分別是由英國的資訊委員會辦公室(Information Commissioner’s Office)所提出的「The ICO PIA handbook」，以及加拿大財政部秘書處(Treasury Board of Canada Secretariat)所提出的「Privacy Impact Assessment Guidelines」。

英國的PIA流程比較完整複雜，它是先以範圍來選擇實施的內容，主要分為全範圍PIA、小範圍PIA、隱私法和其他法規符合確認、個資法法規符合確認等四項，其中全範圍和小範圍PIA的進行再區分為五個階段，分別是：初始階段(Preliminary phase)、準備階段(Preparation phase)、諮詢和分析階段(Consultation and analysis phase)、文件化階段(Documentation phase)、審查與稽核階段(Review and audit phase)。

加拿大則是使用比較簡易清楚且近似風險管理的作法，其中包括了計畫、分析和教育訓練活動，主要分為四項流程來進行，但無論是英國還是加拿大，其共同點為皆是採用問卷方式來進行分析。

個人隱私衝擊分析流程

實施個人隱私衝擊分析，能夠有效識別出在其他管理層次下看不到的個資風險，藉由訪談相關人員的過程，可以改善與個資有關的政策、系統設計、採購決策及作業流程。以下以加拿大的PIA作法為例，說明實施個人隱私衝擊分析的流程。

步驟1：專案啟動(Project Initiation)

PIA的第一步是決定要實施的範圍和採用的工具，在初期組織若是對於個人隱私風險還不是那麼清楚，決定是否要實施PIA也還有雜音的時候，建議可以先做一次初始需求評鑑(Preliminary PIA)，藉由審查相關的政策和指導原則，以及可使用的資源與技能，並獲得外部像是隱私權、法規和技術等專家的建議之後，再正式的來實施全範圍的PIA。

步驟2：資料流分析(Data Flow Analysis)

在這個階段需要去描述和分析組織目前的業務流程架構，以便在工作計畫書中清楚的描述個人資料流的現況。基本上，任何的業務活動都會牽涉到資訊的管理，並且包括四項元素，分別為：資訊收集、交易流程、交易結果和以上三者所留下的記錄。在資料流分析過程中，至少要識別出業務流程主要的元件，例如人員、設備等，以及個人資料如何透過業務流程被蒐集、處理、利用、揭露和保存，建議以清楚易懂的圖形來呈現彼此的關聯，而以表格方式(如表1)來呈現單一資料或群組的現況。

表1：個人資料清單

個人隱私分析是要去檢查在個人資料流中，是否適用於個人隱私政策和法規要求，這部份可透過問卷與檢查表的使用，來識別主要的個資風險或是相關的弱點，其結果將作為個人隱私衝擊分析報告的基礎。至於問卷內容則可參考所在地法令或主管機關要求，以設計出可明確分辨現行流程是否符合法令要求的內容，如表2所示，問卷內容包含了一系列問題和是與否的選項，其中「細節描述」的欄位是用來解釋特定的要求符合或不符合的原因，以作為主管機關的參考，而每一階段的最後則提供「討論重點」，以記錄過程中重要的事項。

步驟3：個人隱私分析(Privacy Analysis)

表2：PIA問卷範例

步驟4：個人隱私衝擊分析報告(Privacy Impact Analysis Report)

藉由上述所採取的步驟，最終將會產生在PIA之中最重要的個人隱私衝擊分析報告，在這份文件中將呈現目前隱含個資風險的結果，也會作為後續決定降低或消除風險的控制措施的重要參考依據，同時它也會是和組織利害關係人溝通的重要工具。

個人資料安全實務建議

整體而言，組織可以藉由導入個人資訊管理制度(PIMS)，來達到個資法要求的個人隱私維護和個人資料保護兩個目標，在實務方面建議分為以下三步驟來進行：

第一步，請務必逐條了解法令之要求，並建立個人資料保護所需的基礎知識。實務作法為可邀請和個人資料蒐集、處理和利用有關的各部門相關人員，透過專家講座、教育訓練等方式，來協助員工獲得個資保護所需的認知與技能，並且清楚了解個人職務所扮演的角色和應盡的義務。

第二步，建立組織的個人資料管理制度，可參考BS 10012個人資訊管理系統標準內容，並依據個人資料保護的八大原則，檢視組織目前所蒐集、處理和利用的個資現況，並進行這些活動的風險評鑑，透過個人隱私衝擊分析(PIA)的方法，來評估與個資有關的風險。

第三步，落實個人資料保護機制，可配合管理制度的要求，在作業流程上部署個資或資訊安全防護技術，例如資料加密、身分驗證、資料庫稽核、資料外洩防護(DLP)、網路存取控制(NAC)等方案，協助控管個資處理流程中可能產生的安全風險。(本文刊載於2010年8月號網管人雜誌)

[觀點] 以PCI DSS檢測個資防護安全

最近，許多朋友和我聊到新版個人資料保護法(以下簡稱個資法)的議題，對於法條的內容要求都存有一些疑義，尤其是面對未來可能的罰責，以及針對個資保護實施的應有作為，皆感到茫然而不知所措。

雖然，目前僅通過個資法的母法，施行細則還在修訂之中，預計最快一年至一年半的時間才會公布，但若是等到實施之後才來因應，恐怕為時已晚，因此在新法尚未實施之前，組織的因應做法，建議可分成以下三階段來進行：

1. 實施教育訓練：組織應邀請所有和個資有關的人員，例如人事、法務、行銷、客服、資訊等單位，進行個資保護教育訓練，實施的內容包括了個資法的法條內容逐一討論，了解個資蒐集、處理、利用應注意事項，以及個資保護的資安控制措施等，讓大家清楚明白法律的要求，才可準備相關的因應作為。
2. 評估技術防護：組織應執行一次完整的資安體檢，尤其是個資所在的位置，例如實體環境的文件櫃、檔案室、辦公處所、機房等，還有資訊設備像是資料庫、應用系統、儲存媒體及網路設備等，針對個資的存取、傳輸、儲存、銷毀方式，逐一進行清查確認，這方面可參考以下的支付卡行業資料安全標準(PCI DSS)要求來進行。
3. 導入管理系統：若組織已經導入資訊安全管理系統(ISMS)，並且已取得ISO 27001的認證，那麼就可以將個資保護納入現行管理制度的範圍，並針對各項需識別的個人資料，增設個資資產清冊、或是進行個資風險評鑑與處理等。若是沒有導入ISMS的組織，則可以參考之前所提到的BS 10012標準，導入個人資訊管理系統(PIMS)，藉由管理系統的文件化與PDCA的持續改善要求，來確保和個資有關的作業流程，均受到妥善的監控與保護。

PCI DSS的資料安全評估

PCI DSS是由American Express、DFS、JCB、MasterCard、Visa等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council所制定，要求所有提供信用卡服務的商店和相關業者，在儲存、處理與傳遞持卡人資料時，必須要有符合標準要求的安全控制措施。此一提供給全球產業共同遵守的資料安全標準，雖然是用來保護信用卡持卡人的資料，但其主要目的就是為了要保護個人敏感資訊，以確保交易的安全。因此，對於想要保護個資的企業，若是能夠參考PCI DSS中所明訂的12項要求作為個資保護的安全基礎，並且將這些要求融入和個資安全有關的評估之中，藉由自我檢視這12項要求，將可協助組織了解現有的資料保護安全現況。

要求1：安裝並維護良好的防火牆配置以保護個人資料
首先，組織必須要建立防火牆的安全配置，項目包括防火牆的規劃拓樸圖、防火牆規則的設定說明，以及DMZ區中的安全設定與網段區隔。基本上，除了必要的網路協定之外，其它不必要的網路服務與通訊埠皆不應對外開放，而且只要是儲存含有個人資料的系統，它和公用伺服器之間的任何連線，都要建立防火牆來加以區隔，同時也藉由實施IP偽裝的機制(NAT)，來避免內部主機位址暴露在網際網路上，以限制任何儲存敏感資訊的系統可以被外部公開地存取。

要求2：管理密碼和其他安全參數不使用設備出廠的預設值
若是透過外包的設備供應商來安裝各式系統和網路元件，例如防火牆、路由器、無線網路基地台等，應該修改系統管理的預設值，並針對所有的管理連線進行加密，以避免駭客直接以系統預設帳號及密碼，繞過防線直接侵入到系統之中。另外，若是自行開發各項擴充的系統元件，應採取業界建議的安全開發配置標準。

要求3：必須妥善保護所儲存的個人資料
針對組織所儲存的個人資料，業者應該秉持保留最少數據的原則，並且制定一個資料處理與儲存程序來做好個人資料的控管。例如，若需要顯示當事人主要帳戶資料時，應採用前六或後四碼的隱蔽措施，如果需要將主要帳戶資料儲存的話，也需要採取加密方式來確保資料不會任意被讀取。在實施了加密之後，用來加密持卡人的金鑰就成為重要關鍵，所以還要制定金鑰的管理流程和程序，來確保金鑰不會遭到洩露和濫用。

要求4：對透過公共網路所傳送的個人資料進行加密
若是個人資料需要透過公共網路來傳送，務必要採用強度難以破解的加密演算法和安全協定，以避免資料在傳遞的過程中遭到破解與竄改。因此，提供服務的網站必須提供SSL/TLS或IPSec等安全傳輸協定，針對所傳輸的資料進行加密。

要求5：安裝防毒軟體並定期更新主程式和病毒碼
所有和個人資料有關的系統，都應該要安裝防毒軟體，並且經常更新病毒碼，在防毒軟體的選擇上，建議最好同時具備防木馬與間諜程式的偵測功能。另外，更要確保所有的防毒措施都能夠及時更新，並且產生可供日後稽核的事件日誌。

要求6：開發與維護安全的系統和應用程式
網站的主機系統和應用程式，應該在供應商發佈修補檔的一個月內進行安裝更新，管理者可以採用訂閱方式來接收最新發現的安全弱點。若是自行開發的應用程式，應採行業界的最佳實務如Security Development Life Cycle(SDLC)，將資訊安全與整個軟體開發生命週期相結合，同時要基於安全的程式編碼原則，以確保所有應用程式不會存在已知的安全弱點，還能抵禦已知的惡意攻擊。如果系統和軟體的配置需要更新或修改的話，也要事先取得管理階層的授權，依照所制定的變更控制程序來進行。

要求7：只有具備業務需求的人才可存取個人資料
在存取控制措施方面，只能允許工作職務上有需要的人員，才能存取電腦上和個人有關資訊，也就是要依據僅知原則(need to know)，避免不相干的人員接觸到個人資料，也就是說除非已獲得管理階層授權許可，否則應該拒絕所有的存取行為。

要求8：賦予擁有資訊存取權限的使用者唯一的識別帳號
針對擁有個資存取權限的使用者，必須給予一個唯一的ID，才能允許其存取和個人有關的資料，這樣做的目的在於一旦發生資安事件，才可進行追溯和釐清相關責任。對於採用遠端存取的員工或第三方合作廠商，則採取雙因素身份認證機制，也就是除了使用帳號和密碼來驗證之外，還需要使用如Token、憑證、或生物特徵(指紋)等方式來識別連線的使用者。PCI DSS要求，只要是系統中所需使用的密碼，無論是儲存或傳輸，進行加密是必要的安全措施。

要求9：限制對個人資料的實體存取
針對個人資料的實體存取行為，必須採用監視系統和門禁管理等適當的控制措施，而針對所有包含個資的紙類或電子媒體，都應存放在安全的地點，並採行實體安全保護，無論是內部或外部，含有個人的資料都應該限制發送，而且儲存個資的媒體在離開安全區域之前，也都需要經過管理階層的核准才能放行。一旦含有個資的媒體不再需要保留時，也要按照一定的安全程序進行徹底銷毀。另外， 為確保對所有訪客都能被有效管理，可採用訪客識別證或通行卡，在訪客來訪期間的日誌記錄，至少需要保存三個月以上，以確保訪客的活動能夠被稽核。

要求10：追蹤並監控存取各項網路資源和持卡人資料的過程
對於和個人資料有關的所有存取行為，必須建立一個識別程序，來記錄追蹤存取事件，所記錄的內容應包括使用者ID、事件類型、日期時間、成功或失敗、事件來源、受影響的資料、系統元件或資源的ID或名稱。對於這些事件，管理者應定期進行審查，並且妥善保護稽核軌跡以防止日誌遭到竄改，所有的稽核記錄應至少保持一年。

要求11：定期測試系統安全與程序
針對各項資安控制措施，每年應定期實施測試，以確保控制的有效性，每季也至少進行一次內部和外部的網路弱點掃瞄，尤其是在網路發生重大變更之後也要執行一次。而針對可疑的入侵事件，應建立警示和通報的機制，一旦發現網路或主機遭到入侵，或是關鍵系統或檔案受到非授權的更改，都要能夠及時通報相關的人員。

要求12：建立並維護資訊安全政策
組織應建立、發布、維護和宣導一項資訊安全政策，並確保所有員工和合作夥伴，都能明瞭相關的資訊安全責任。在人員管理方面，對於欲聘雇的員工應進行背景的查核，對新進員工則實施有關資訊安全的認知宣導，使所有員工都能了解保護個資的重要性，藉此將來自內部的資料外洩風險降至最低。如果不幸發生了資料外洩事件，組織應依照事先建立的事件回應計劃來處理，而針對所有合作的供應商，在合約中也應清楚註明各項安全要求。

以上，是PCI DSS對於資料保護的安全要求，組織可藉此來一一加以審查檢視，就可找出目前個資防護的不足之處，然後強化安全控制措施。(本文刊載於2010年7月號網管人雜誌)

[觀點] 面對新版個資法的因應之道

隨著新版個資法正式的三讀通過，對於存在於各行各業且為數眾多的個人資料，總算有了保護的法源依據，對於公務機關和企業組織而言，未來若沒有落實個資保護，很可能就會面臨難以負擔的刑事責任和行政處罰。

延宕多年的電腦處理個人資料保護法修正案，總算在今年4月27日順利三讀通過，除了將名稱正式更改為「個人資料保護法」，在法條內容方面也做了一些修訂。尤其在二讀時，針對新聞報導自由的部份，在過程中引起了社會關注與媒體的討論，因此對於媒體報導的內容，是否需要事先取得當事人的同意，還有在Facebook上面分享拍攝的照片，會不會有洩露個資之虞，也作了適當的澄清，以避免民眾誤觸法網。

個資法修正前後的差異

過去在1995年公佈實施的電腦處理個人資料保護法，主要是參照經濟合作發展組織(OECD)所提出的個人資料保護八大原則，也就是要求限制蒐集、資料正確完整、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等原則，以避免個人人格權受到侵害，或是個資遭到不當利用。

當初，因考慮此法頒布實行之後，將會對民間業者衝擊過大，所以將適用範圍限縮在只經電腦處理的資料，適用行業除了公務機關之外，僅有特定的八大行業(徵信業、醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業)受到規範，後來，雖然也陸續透過指定方式，將期貨業、百貨公司、零售業、不動產仲介經紀業、人力銀行等九個行業納入適法範圍，但還是有許多會蒐集、處理、利用個資的企業和團體不在此法律適用範圍內，仍然有不夠完善之處。

新版個資法的修正原則，參照了亞太經濟合作論壇(APEC)隱私保護綱領，將取得個資的事先告知、蒐集限制和預防損害，納入個資保護的規範之內，並且要求各事業主管機關需要負起監督之責，以防範個人資料的不當使用與外洩，其修正重點與前後的主要差異如下：

1. 資料類型與保護範圍擴大 - 電腦處理個人資料保護法的保護客體為經過電腦處理的資料，新法則擴大為不管是電腦處理或人工紙本的資料，統統都受到法律規範。至於適用的行業，過去只有公務機關及八大行業受到法令要求，新版個資法則包括所有個人、法人團體、一般企業等(第2條)，只要擁有個人資料的單位和組織，一律都要遵守個資法的規範。
2. 刑責加重和罰責提高 - 過去若是發生個資外洩事件，民事損害賠償的總額上限為2千萬元，新法則提高至2億元，若被害人不易或不能證明實際損害的金額時，可以請求法院依照受害的情節以5百元以上2萬元以下來計算(第28條)，同時為了方便受害者提出救濟賠償，新法還增加了團體訴訟機制，可透過眾人的力量來集體控訴(第34條)。至於刑事責任方面，若是犯罪人意圖將個資用於營利行為，則可能受到5年以下有期徒刑，併科1百萬元以下罰金，並且被提起公訴(第42條)。
3. 個資蒐集限制與告知義務 - 新法中要求若是有關醫療、基因、性生活、健康檢查及犯罪前科等特種個資，必須在符合法律明文規定的嚴格要件下，才能進行蒐集、處理和利用(第6條)。未來無論是直接或間接地蒐集個資，都必須要盡到對當事人的告知義務(第8條)，也就是要說明蒐集的目的和利用的方式，若是個資遭到不當外洩，資料保有者也必須依法查明後盡快通知當事人，以避免災害的擴大。
4. 個人隱私與新聞自由的兼顧 - 新法二讀之後，在媒體上引起了一陣抗議波瀾，原因是個資法對於隱私的保護太過，若報導時都要對當事人告知並取得同意，在實務方面將會引起爭議與困難。因此在三讀時，為了基於對新聞自由的尊重，特別說明對於大眾傳播業者在進行新聞報導時，若基於「公益目的」(第9條)，則可免為告知當事人，若是和公共利益有關或個資來自於一般可得之來源，也可以進行蒐集或處理。
5. 網路使用個資行為之澄清 - 民眾在部落格或facebook張貼與他人合影的照片，若是屬於單純個人或是家庭生活的目的，則可適用第51條的排除規定。若是蒐集、分享沒有和其他資料結合而可識別出特定個人的影音資料，只要是基於便利性及合照本身的合法使用目的相當明確，也可排除在法規之外。至於人肉搜索的行為，若是屬於公共利益或取自於一般可得之來源，也屬於個資法主張的合理使用範圍內。

個資法重點條文之解讀

新版個資法全文分為六章共56條條款，第一章為總則(第1~14條)，第二章為公務機關對個人資料之蒐集、處理及利用(第15~18條)，第三章為非公務機關對個人資料之蒐集、處理及利用(第19~27條)，第四章為損害賠償及團體訴訟(第28~40條)，第五章為罰則(第41~50條)，第六章為附則(第51~56條)。

關於新法修訂的目的，在第一章第一條開宗明義即提到「為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。」至於個人資料涵蓋的範圍，第二條明確指出個人資料是「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、 指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

其中有關個人之醫療、基因、性生活、健康檢查、犯罪前科等，必須在法律明文規定之下，或是公務機關執法或非公務機關履行法定義務，並有適當的安全保護措施下才可進行，若是公務機關或學術研究機構為了醫療、衛生或犯罪預防的目的，也必須經過一定之程序才能蒐集、處理或利用個人資料作為統計或學術研究之用。

個資法實施之後的衝擊

對公務機關而言，在新版個資法實施之後，有許多和過去不同的要求，包括必須要將個人資料保有的依據和特定目的、檔案名稱和類別、機關名稱和聯絡方式公布在網站上(第17條)，換句話說，相關單位如何進行個資的清查和制訂公布的程序，就顯得十分重要。

另外，保有個人資料檔案的公務機關，必須要指定專人來負責個資安全維護事項，以防止個資受到竊取、竄改、毀損或洩漏(第18條)，也就是說，這位專人勢必要對資安防護具有相當的專業知識，才足以擔負起個資維護的重責大任，這對於某些資安專才不足的單位，恐怕也需要一番的規劃與考量，才可推派出適當人選。

對於非公務機關來說，尤其是不屬於舊法適用的企業，由於以往從未受到要求，恐怕在個資相關的作業流程和維護方式，往往是聊備一格的，所以特別需要熟悉新法中的種種要求。例如新法中提到，非公務機關利用個資進行首次行銷時，應提供當事人表示拒絕接受行銷之方式，若當事人表示拒絕接受行銷時，就要停止利用其個人資料來進行行銷活動(第20條)。

新法第27條則要求，「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」也就是說企業必須要制訂「個資安全維護計畫」，並且說明業務終止後個人資料的處理方法。未來若是其事業所屬的主管機關或縣市政府，接受檢舉或認為該企業有違反個資法之虞時，可以依照法定程序派員進行檢查，要求相關人員進行必要的說明配合，並提出已盡到個資保護的相關佐證資料(第22條)。若是有違反個資法行為而遭糾舉且屆期未改正者，將會按次處以2萬元以上，20萬元以下的罰鍰(第48條)。

此外，如果發現企業有違法的情形，將會公布違反人員之姓名和負責人(第25條)，若是導致個人資料遭到不法蒐集、處理、利用或其他侵害當事人權利者，還要負起損害賠償責任(第29條)。當然，如果企業能夠自行舉證並證明無故意或過失的責任，則不在此限，但這也就表示，企業若缺少適當的管理制度和表單記錄，要舉證恐怕不是一件容易的事。

請提早因應並做好準備

雖然，目前新版個資法的施行細則尚未完成，還須等待法務部參考多方意見來制訂並進行審查，預估最快也要到明年才會公布實施，因此對於公務機關和一般企業組織，還有一些因應的準備時間，但在此還是要提醒眾多單位主管及企業負責人，個資保護已有如箭在弦上，不得不發，所以提早因應做好準備，才是最佳的應對之道。

如果還不清楚該從何著手，建議先將法條內容瀏覽一遍，明瞭所處單位所受的規範要求，這是初步且必要的工作，然後去清查目前所保有的個資內容與評估其可能的安全風險，接著還需要針對個資蒐集、處理、利用的各個階段，將相關人員應扮演的角色責任明訂清楚，日後一旦施行細則公布之後，就可以參照必要的規範來運作，相信就能大幅降低觸犯法規的風險。(本文刊載於2010年6月號網管人雜誌)