[CIO 對談] 飯店服務業 x 證券投資信託看個資法

新版個人資料保護法（以下簡稱個資法）雖然幾經波折與爭議，仍在 4 月底通過三讀，當個資法通過之後，受到衝擊的將不僅只於過去的 8 大行業，舉凡所有企業都必須受到新法規範，而且，新法還要求企業舉證，且罰鍰也拉更高，影響企業甚鉅。此次我們藉由飯店服務業與證券投資信託業的角度，看看個資法到底會帶來哪些影響、企業又能夠以什麼樣的態度與方式因應呢？

「喂？您好，這裡是 XX 茶葉行，您有喝茶習慣嗎？…」（馬上拒絕後掛電話）相信大家常常接到很多像這種來路不明兼且莫名其妙的來電，這些個人資料到底從哪邊洩漏出去的？怎麼好像全世界都有我的手機號碼？其實，這些資料大多都是從我們的消費行為或隨手留下的個人資訊所洩漏出去的，而新的個資法上路之後，這樣的情況可望有所改善，但對於各行各業的企業來說，可就頭大了。

什麼是新的個資法呢？有別於現行的電腦處理個人資料保護法，不久前已三讀通過的新版個人資料保護法（以下簡稱個資法）擴大了個人資料保護範疇，從過去的醫療、金融、大眾傳播、電信等 8 大行業擴及所有公民營機關，並且相較於現行法規，舉證責任轉移到企業身上，「舉證之所在，敗訴之所在。」對企業的衝擊不言而喻。不過，新的個資法對企業來說真的就只有「挫咧等」的反應可以選擇嗎？其所能做的因應之道又有哪些呢？此次我們分別探訪到對於新版個資法有其不同角度與看法的飯店服務業以及證券投資信託產業，看看首當其衝的 CIO 們應該如何因應個資新法所帶來的影響。

可大可小的個資新法
對於飯店業者來說，其實新版個資法對該產業的衝擊可說是大，卻也影響不大，主要原因來自於，新版個資法讓飯店業者在客戶資料的掌控必須比過去更加嚴謹，但也因為對於飯店業來說，客戶資料本來就是必須謹慎管理與使用的資料，稍有不慎即會影響聲譽，因此，才會說衝擊既大、卻又對 IT 系統影響不會太大（至少與許多沒有專屬資訊人員與 IT 部門的中小企業相比之下，無論在機器設備或是人為控管上都較具正確控管觀念與防範機制。）

晶華酒店電腦室經理陳天毅即表示，以晶華酒店為例，需要保護的資料包括對外的客戶服務資訊以及對內的客戶資料與消費行為資料等管理，另外也必須建立員工對於客戶資料保護的觀念與行為控管，「這些資訊安全管理與資料保護機制，對於飯店業來說，其實都已經是行之有年的事情。」

不過，個資新法對於晶華酒店來說仍有其衝擊性，除了舉證責任轉移到企業本身，使得飯店業可能面臨更多形形色色的消費糾紛，另外，飯店服務業往往與其他服務業合作（如旅行社、運通業、航空業等），當個資新法上路之後，飯店業必須要思考的是，如何維持與這些服務業之間的合作關係，而卻又不會被住宿旅客認定洩漏個人資料給這些合作夥伴。

「舉例來說，不久前晶華酒店曾與美國運通公司合辦行銷抽獎活動，當住宿客戶已勾選許可將基本資料提供給合辦單位使用的欄位，即可參加此一抽獎活動，後來一位住宿旅客接到美國運通公司來電，卻質疑晶華酒店洩漏個人資料，雖說誤會一場，但未來想必這樣的情況將會越來越多。」晶華酒店數位行銷部經理洪嘉陽表示，雖然當時晶華酒店留有客戶勾選的實體資料作為舉證，證明晶華酒店並沒有在客戶不知情的情況下將資料提供給第三方，但當個資法上路之後，必須更強化和客戶之間的溝通與共識才行。

在內部資料保護與員工行為控管方面，陳天毅表示，目前晶華酒店正在編列預算，為的就是增加資訊安全與資料保護的相關設備，「尤其必須加強行為紀錄的部份，如內部員工列印報表，必須增加時間記錄以及 log 等，以因應事後舉證所需。」

（…未完，更多精采內容請參閱網路資訊雜誌 223 期 6 月號）