當企業完成個資管理制度的基礎整備作業，包括完成『個資管理組織』、『個資業務分析』、『個資檔案盤點』等，接下來就可以依據每個企業的不同需求，制訂個資蒐集、處理、利用程序的內部規範。本文筆者針對實務上常見的議題分享經驗，包括『員工履歷資料』、『企業個資行政流程』、『外部客戶會員管理』等管理規範的建議如下。

『員工履歷資料』的個資管理建議：

首先需針對『應徵人員』、『正式人員』的個資蒐集欄位重新設計，同時考慮就業服務法的『生理資訊』、『心理資訊』、『個人生活資訊』限制，僅收集必要欄位，同時應聘、就職員工的學歷、證照佐證附件應與工作有必要關係。『人才資料庫』的個資蒐集與保留期限應取得應聘人員同意，非經當事人同意，一般應聘人員的個資保留期限以不超過6個月為原則。健康檢查資料的蒐集應符合勞動法規，僅蒐集必要欄位，且是正式員工到職後才可蒐集，在無特定職務需求下（如實驗室），對應聘者不可以在到職前審查健康檢查報告的資訊。犯罪紀錄蒐集僅應針對特定職務需求，例如保全、會計人員等。而企業如果能針對『應聘者』、『正式員工』的上述個資使用狀況，詳列一份『個資使用暨保護宣告』提供個資當事人查閱，是雇主良善遵照法令的最佳作法。 

『企業一般行政流程』的個資管理建議：

企業內部個資行政流程的重點是將各項個資管理留有管理紀錄，以備主管機關的查核。實務上，最常使用的表單包括『個資調閱單』、『個資業務申請單』、『個資輸出保密協定』等。

• 『個資調閱單』的使用時機為，當非個資業管人員基於各項業務的需求，需向個資業管單位調閱個資資料時所填具的表單，一般填寫內容包括『個資業務目的』『個資調閱欄位』、『個資調閱數量』、『個資使用方式』、『個資安控方式』、『個資使用期限』、『個資使用後處理方式』等。
• 『個資業務申請（異動）單』是企業內部如果新增、異動一項業務是與個資蒐集、處理、利用有關的，則應該填寫該單，註明『個資業務目的』、『個資蒐集欄位』、『個資蒐集數量』、『個資使用方式』、『個資安控方式』、『個資使用期限』、『個資業務終止後處理方式』等。
• 『個資輸出保密協定』是當企業要將個資輸出時，所應填寫的個資表單，包括『個資輸出對象』、『個資輸出欄位』、『個資輸出數量』、『個資傳輸安控方式』、『對外監督、稽核方式』等，以強化個資輸出外部單位的安全控管與審。 
  
  

『外部客戶會員管理』的個資管理建議：

除了內部個資的管理程序外，對於服務業、仲介業、網購業、直銷業而言，最大量的個資來源是一般消費者的個資。當企業處理一般消費者個資時，一定要執行以下幾點必做程序，否則有明顯違反個資法的疑慮：

• 於個資蒐集時，執行法定的個資告知事項。依據個資法令規範，需告知的內容包括『企業名稱』、『業務辦理目的』、『個資蒐集的大概種類』、『個資使用的方式、期間』、『當事人依法得行使權利』等。
• 必須提供個資當事人（消費者）法定的個資權益，包括個資的查閱、更正、停止利用、刪除等。其中以『拒絕行銷』、『停止會員活動』等問題較大，企業必須依據其個資業務屬性審視如何執行該等作業，並留有執行紀錄。
• 102年10月1日後所收集的個資，行銷活動必須取得當事人的同意，否則如果與個資蒐集目的不符合的話，容易被消費者檢舉，造成企業營運上的隱憂。
• 個資的使用、行銷、輸出等，必須與當初的蒐集目的一致。如果當初個資蒐集的目的是『藥物檢查報告』，就不可以拿這項業務的個資來進行『網路購物行銷』或『癌症藥物檢驗』等。『送貨個資清單』也不等同可以進行公司商品的行銷或輸出其他公司，所有的企業活動必須檢視與當初的個資蒐集目的是否一致。
• 同一公司（母集團）的多品牌行銷策略，必須落實個資個資庫的獨立行銷與使用。如果企業的經營，是採用多品牌策略，也就是同一公司對外採用不同的品牌進行產品行銷、銷售、售後服務等，就必須謹慎的建立內部控管機制，避免不同品牌的個資共用情形。

以上所提『員工履歷資料』、『企業個資行政流程』、『外部客戶會員管理』等，已涵蓋絕大多數企業的個資管理議題，而企業最重要的就是將上述的業務程序建置管理政策、並建立作業流程SOP，同時應每年辦理員工教育訓練，以落實個資管理、強化企業內部個資安控管。