從醫院和 MRI 掃描到律師事務所和披露文件,我們所謂的「文件」是任何企業的命脈。以合乎法規且有效率的方式管理這些文件不僅是內務管理的問題,更是基本標準的要求。尤其是在資料隱私權立法日益嚴格的時代。
但是,保持合規性不僅僅是為了避免法律懲罰,它也是你可以善加利用的資產。它可以改善業務流程:例如改善資料存取,進而增強管理層的決策能力。因此,瞭解獨特的法規遵循要求不僅有利,對於維持競爭優勢和確保企業的長久經營也非常重要。
在這篇文章中,我們將探討法律、醫療保健、政府和金融行業的特定合規性考慮,這四個行業是文件管理最重要(也是要求最嚴格)的行業。我們將大致列出你應該保留跨國文件多久。我們要讓沒有資訊管理背景的專業人員有一份「提示紙」來瞭解由上而下的基本知識。
跨國文件管理:各行業的要點
要全面瀏覽令人眼花繚亂的立法、判例法、法規、指導方針等,看起來幾乎是不可能完成的任務。因此我們將盡可能簡化這份文件管理入門指南。每個企業都細分為有關保留、安全性和資料外洩標準的關鍵準則。.
醫療保健:維護病人的私隱
- 保留: 醫療文件的保留是國際標準的拼湊。例如在美國,一般醫療記錄的保留基線為五年,而英國則規定精神科記錄的保留期限為25年。中國的規定從15年到30年不等,不同的醫療專科也有不同的規定。印度的政策將保留期限分為門診記錄(五年)和住院文件(長達30年)。要瞭解醫療文件相關的規定,你要找國家的律師公會,例如美國律師公會 (ABA) 在其網站上提供了如何管理醫療文件的入門指南。
- 保安:安全儲存不僅限於保留,美國HIPAA和歐盟GDPR規定必須如何加密和存取病患資料。對於維護病患的信任和機構的信任度而言,安全措施當中包含的警覺性和對新法規的主動採納是非常重要的。根據GDPR和其他類似GDPR的法規,各行各業的僱主都必須嚴格保護員工的保健資料,因此需要注意的不僅僅是醫療服務供應商。國家醫療保健系統 (NHS) 等全國性的醫療保健系統也會針對醫療記錄的處理提供指導,為醫療保健企業制定準則。
- 資料外洩協議:這在醫療保健行業可能比任何其他行業都來得重要。這些規範應該包括即時的資料洩漏對應策略、及時的通報流程,以及與其他團體透明度高的法規合作方式。
- 事例:新加坡最大的醫療保健機構新加坡保健服務集團在2018年因用戶端電腦遭入侵而造成重大資料洩漏。從電腦駭客取得新加坡保健服務集團的電腦的存取權限這類的資料外洩事件,顯示出即使是最基本的資料安全保護也必須嚴謹處理。
財務:確保把全球市場的文件保持原狀
- 法律框架:金融業受到密密麻麻的文件保存法規所規範。例如美國的SOX法案要求某些文件最少保留五年,而歐盟的MiFID II也有類似的規定。稅務記錄和審計報告可能需要儲存長達10年,視司法管轄區而定。在中國,監管法律是《會計記錄管理辦法》,其中規定財務文件的重要性與醫療記錄相似:15-30年。
- 資料駐留:在我們全球一體化的經濟體系中,資料駐留法(例如印度的資料駐留法)規定某些金融資訊必須儲存於國境內,這對跨國機構而言是一項獨特的挑戰。
- 文件安全性與管理:安全的文件儲存系統是必要的,尤其是不同的文件類型,從合約協議到稅務記錄,在不同的司法管轄區可能有不同的保留和保護協議。
- 事例:2017年發生的艾可飛資料外洩事件,讓駭客恣意闖入美國最大的信用報告資料庫之一。駭客入侵的原因是客戶投訴門戶網站的漏洞沒有被完全堵塞。
法律:保密與道德實踐
- 保留的道德:法律專業人士必須在法規遵循與道德責任之間取得平衡。保留期限可能會有所不同,例如在英國某些文件的保留期限為六年,而在中國合約的保留期限則長達10年。在處理客戶資料時,經常會陷入道德兩難之局,尤其是在《一般資料保護規例》等法規出現之後。
- 國際考慮:當法律事務跨越國界時,國際條約和協定就會發揮作用,影響文件的保存,並需要全面瞭解這些不同的法律環境。
- 數碼驗證:法律程序的數碼化帶來了遵守數碼驗證規定的必要性。專業人員必須確保他們的電子文件管理系統能有效回應法律要求,並符合不同的國際電子取證法規。
- 事例:2021年歐華律師事務所的贖金程式攻擊突顯出全球贖金程式攻擊日益普遍。這不僅強調需要更嚴格地控制法律事務所及其合作夥伴所使用的電腦軟件,更重要的是在遭受攻擊後也需要提高透明度。
政府:開放與安全之間
- 公共文件:政府必須巧妙地平衡大眾的資訊權與私隱權和安全考慮。美國的《資訊自由法》和歐盟的《一般資料保護規例》公共部門規定等法案可帶領此平衡過程,但需要仔細地應用以包容不同類型的資訊,以及容許在特定情況下修改。德勤等顧問公司是詳細瞭解這種微妙平衡的最佳參考。「大眾的一般資料保護規例」對於公務人員來說是一份特別有用的 「做與不做起步點」。更廣泛來說,瞭解公共部門的員工記錄應保留多久,對國家部門而言至關重要。
- 處理敏感資料:機密和個人私隱的政府資訊需要執行嚴格的安全措施,通常會超越基本公共記錄的安全措施。例如印度的「資訊權法案」規定了資訊公開的特定準則,但仍要求保護個人私隱資料。
- 數碼治理:當政府轉向數碼解決方案時,他們必須確保這些轉型與目前及即將實施的資料私隱權法規保持一致。這可確保數碼技術的進步能提升而非阻礙法規的遵循與公共服務的效率。
- 範例:近年來最著名的政府資料外洩事件可能就是美國人事管理處遭到駭客攻擊,暴露了數千萬名政府員工的檔案,包括安全審查分類下的機密資料。值得注意的是,這次攻擊利用承包商的電腦作為媒介。這顯示出確保嚴密保護的重要性不僅限於企業內部,對與企業合作的所有利害關係人和合作夥伴也是如此。
歐盟資料治理法案、資料分享及其影響
你會注意到在上述所有行業和部門中,文件保留與知情權之間都存在着微妙的平衡,在政府記錄中尤為明顯。2023年歐盟資料管理法案的推出,是其中一項帶來改變的因素。其目的在於建立明確的規則,規範在何種情況下分享資料可為公眾帶來利益(例如將MRI記錄用於程式學習,讓我們能更客易辨識或預測癌症)。
目前尚未感受到DGA的全面影響,但我們預期其他政府也會跟隨,制定類似的指引針對如何在公開與私隱之間取得最佳平衡。
數碼化、人工智能與未來
日趨數碼化也在改變各行業的合規環境,雖然這些變化的速度和性質因國家而異。
在成熟市場中,數碼系統和法規已相當成熟,企業已受惠於能夠支援高效率、安全數碼存取的基本建設。這些地區通常領先採用新資訊科技,無論是支援OCR/ICR的掃描,簡化人力資源等部門使用ECM管理文件的方式,或是使用人工智能進行文件分析。
在更多新興市場中,數碼化的旅程才剛展開,許多地區正努力建立支援數碼轉型所需的基礎架構和法規框架。
這種全球性的差異代表任何要管理全球的文件記錄的人,不論是法律、醫療保健、政府或財務文件,都必須緊記不同區域的數碼化程度。這不但影響文件管理,也引申到管理文件的技術的問題!
查閱更多資料::
- AIIM – 智慧型資訊管理協會:提倡資訊管理最佳實踐方式的非營利組織。
- ARMA – The Association of Records Managers and Administrators:協助建立國際文件標準的組織。
- DPDP – 我們對印度新的數碼個人資料保護法案的初步介紹,該法案將於2024年取得法律效力。
- PIPL – 中國的個人資訊保護法如何運作?
- 人工智能在文件管理中的應用 – 人工智能在文件管理領域的優點和風險是甚麼?
