新版ISO27001:2022的A.8.10資訊刪除 (Information deletion)是一項全新的要求;相較於舊版ISO27001:2013當中的A.8.2提到資訊的分級與處置、A.8.3提到應防止儲存於媒體之資訊被未經授權之移除,新版的資訊刪除的焦點放在應刪除不必要的資料,以免敏感資料外洩,並且再次強調法遵合規的重要性。
未來組織/企業必須在刪除方法、資訊刪除的證據留存、法遵合規三大面向符合A.8.10資訊刪除的要求。
其中,值得深入探討的是在法遵合規面:
一、我國《個資法》、ISO27701:2019個資隱私資訊管理系統可以直接對應新要求A.8.10資訊刪除:
我國《個人資料保護法》第11條第三款:個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
ISO27701:2019個資隱私資訊管理系統(Personal Information Management System, PIMS)條文7.4.5處理結束時之PII去識別化及刪除規定:一旦對所敘明目的不再需要原始PII時,組織宜刪除PII或以不允許識別或重新識別PII當事人之形式提供之;條文7.4.8毀棄規定:組織宜具毀棄PII之書面政策、程序及/或機制。
但須注意,若因法令屬執行職務或業務所必須者,則不在此限。
如 :依據《勞基法》,勞工名卡應保管至勞工離職後5年;工資清冊應保存5年;雇主應置備勞工簽到簿或出勤卡,此項簿卡應保存1年。依據《勞工保險條例》,出勤工作紀錄及薪資帳冊等表冊,應自被保險人離職之日起保存5年;《勞工健康保護規則》,勞工體格檢查紀錄應至少保存7年。
二、我國《營業秘密法》第13-1條:意圖為自己或第三人不法之利益,或損害營業秘密所有人之利益,而有下列情形之一,處五年以下有期徒刑或拘役,得併科新臺幣一百萬元以上一千萬元以下罰金:持有營業秘密,經營業秘密所有人告知應刪除、銷毀後,不為刪除、銷毀或隱匿該營業秘密者。
三、歐盟GDPR(General Data Protection Regulation)、美國CCPA(California Consumer Privacy Act)則沒有對敏感資料設置落日條款,而是要求個資持有者有義務在個資所有人提出要求時,將資料刪除(出於公共利益、法規要求等情況例外)。
コメント