為什麼合規長要關心一場活動的報到系統

活動是企業最常被忽略的個資蒐集場景

在多數企業的個資盤點清單中,CRM、HR 系統、客服系統往往是優先項目,但活動報名與報到系統常被視為「行銷部門的事」而被排除在外。實務上,一場 500 人的記者會或經銷商大會,主辦方蒐集的個資量級可能不亞於一個小型客戶資料庫,且包含姓名、職稱、公司、聯絡方式等可識別資訊。

紙本簽到不是「比較安全」,而是「比較難稽核」

部分企業仍以「我們用紙本就好」作為合規策略。但紙本簽到的問題在於:資料的流向無法追蹤、保存期限難以執行、存取權限近乎無管控。從 ISO 27001 的角度,紙本反而是稽核時最難舉證的方式。

  

法規基礎:個資法與ISO 27001對活動資料的要求

個資法五大原則在活動場景的對應

個資法的核心原則包括目的特定、蒐集最小化、告知義務、當事人權利保障與安全維護義務。對應到活動場景:蒐集前須明確告知用途、欄位設計應避免過度蒐集、報名者有權要求查詢與刪除、系統須具備合理的安全措施。

ISO 27001 附錄 A 與供應商管理的關聯

ISO 27001:2022 附錄 A 中,A.5.19 至 A.5.23 涵蓋供應商關係管理。當企業將活動報到外包給第三方系統,等同於將個資處理活動委託給供應商,須評估供應商的資安成熟度,並在合約中明訂責任歸屬與稽核權限。

 

檢核點1:資料蒐集階段的告知與同意

報名表單是否載明蒐集目的與保存期限

依個資法第 8 條,蒐集個資時應明確告知:蒐集機構、蒐集目的、利用期間、利用對象與當事人權利。合規長應檢視報名表單頁面,確認上述資訊以可閱讀的方式呈現,而非僅藏在連結深處的隱私政策。

同意紀錄是否可被追溯

報名者「按下同意」的那一刻,系統是否留下時間戳、IP、版本號?這在事後爭議時,是證明「已取得同意」的關鍵舉證資料。一個合格的活動報名系統整合方案,應將同意紀錄與報名資料一併保存。

 

檢核點2:資料儲存的加密與所在地

儲存位置與跨境傳輸風險

報到系統的資料庫部署在台灣、新加坡還是美國?若供應商使用跨境雲端服務,須評估是否涉及個資法第 21 條的國際傳輸限制,以及客戶合約中是否有資料留存地的要求。

靜態加密與備份策略

資料在資料庫層級是否啟用加密(at-rest encryption)?備份檔案的保存方式與保存期限為何?這些是 ISO 27001 附錄 A.8.24(密碼學使用)與 A.8.13(資訊備份)的具體落實項目。

 

檢核點3:資料傳輸的通道安全

HTTPS/TLS 是基本門檻

從報名頁面到後端 API、從現場掃碼裝置到伺服器,所有傳輸通道是否強制使用 HTTPS 與較新版本的 TLS?這是報到系統資安的最低門檻,也是合規長詢問供應商的第一個問題。

QRCode 內容是否包含敏感欄位

部分系統會把姓名、公司、電話直接編碼進 QRCode 圖片中。這代表只要 QRCode 圖片外流,個資就外流。比較安全的做法是讓 QRCode 僅承載一組無意義的識別碼,實際資料仍存放於後端資料庫,需經過驗證才能調用。

 

檢核點4:存取控制與稽核軌跡

角色權限分層

報到系統內,哪些人可以看到完整名單?哪些人只能執行掃碼?哪些人可以匯出資料?權限分層應依「最小權限原則」設計,避免現場工讀生擁有超出工作所需的存取權。

操作紀錄保存與不可竄改

誰在什麼時間、做了什麼動作,系統是否完整記錄?這份操作紀錄是 ISO 27001 附錄 A.8.15(log 紀錄)的稽核重點,也是個資外洩事件發生時,追溯責任的關鍵。

 

檢核點 5:資料銷毀與保存期限

個資法第 11 條的「目的消失」原則

依個資法第 11 條,當蒐集目的消失或期限屆滿,蒐集者應主動刪除或停止處理個資。活動結束後,報到資料是否仍長期保留在供應商系統中?保存期限的設定是否經過法務審核?這是合規長最該主動詢問的問題之一。

自動化封存與刪除機制

成熟的活動管理系統應具備保存期限自動封存與刪除的機制,避免依賴人工記憶執行刪除動作。在 ISO 27001 附錄 A.8.10(資訊刪除)中,這也是被明確要求的控制項。

 

合規長的採購檢核清單

採購階段該向供應商索取的 4 份文件

在簽約前,建議合規長主動向供應商索取以下四份文件:

  1. 個資保護政策與隱私權聲明
  2. 資安管理制度(如 ISO 27001 證書或同等聲明)
  3. 資料處理協議(DPA)範本
  4. 資安事件應變流程說明

這四份文件能在最短時間內看出供應商的合規成熟度。

 

結語

QRCode 報到不只是行銷部門的工具,更是企業個資治理版圖的一部分。合規長若能在採購階段就介入,把上述五個檢核點納入評估標準,活動個資保護就能從事後補救轉為事前設計。對企業而言,這不只是降低風險,也是讓活動資料真正成為可被信任、可被使用的商業資產。

 

QRPASS提供服務:QR Code報到名牌列印系統尾牙春酒抽獎系統家庭日闖關集點系統園遊會數位點券系統

歡迎聯繫我們(LINE ID: @qrpass)!