2010年10月17日 星期日

[觀點] 個人隱私衝擊分析(PIA)之介紹

在個資法第一條提到,「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」其中隱私權就是重要的人格權之一,本文將說明何謂個人隱私衝擊分析(PIA)

無論是公務機關或非公務機關的企業、法人和團體,為了因應未來新版個人資料保護法實施之後,針對個人資料保護的種種要求,許多組織已開始著手來準備,如果仔細地去探究個資法所涵蓋的精神與要求,就會發現其關注的焦點有兩個層面:首先是如何維護個人隱私,其次則是如何落實個人資料保護。

基本上,在個人隱私方面,我們可以透過建立個人資料蒐集、處理和利用的注意事項和作業規範,以確保個人隱私不會受到不當揭露;至於在個人資料保護方面,則可以透過資安技術的應用,降低資訊系統在處理個人資料的過程中,可能會受到入侵、竊取、竄改和干擾的風險,並且達到一定的資料存取防護強度。本期我們就先來探討維護個人隱私的一項重要工作,也就是進行個人隱私衝擊分析(Privacy Impact Assessment, PIA)

個人隱私衝擊分析目的

在個人資訊管理標準BS 10012的「4.4 風險評鑑」內容中提到,「組織應實施一項流程以評估和處理個資相關人員的風險程度,這項評估也應包括委由其他組織所進行的個資處理,組織需管理由風險評估過程所識別出的任何風險,以降低不符合政策要求的可能。」

簡單來說,為了避免違反法規和政策的要求,我們應針對個資的蒐集、處理和利用的過程,所牽涉到的人員、技術、作業流程,找出其中可能隱含的資訊安全風險,以避免和個資有關的不當事件發生,這也就是所謂的個人資料風險評鑑,而其使用的風險評鑑方法,稱之為個人隱私衝擊分析(PIA)

因此,個人隱私衝擊分析的目的,就是要協助組織確認在個人資料的蒐集、處理和利用的過程中,相關的資訊系統、控制技術、作業流程和管理政策,是否符合確保個人隱私的基本要求,進行識別並管理其中的風險,以避免不必要的損失和聲譽受損,達成法律法規的要求。

個人隱私衝擊分析方法

有關個人隱私衝擊分析的方法論,各國政府為了因應本身的個資法規要求,所以皆有不同的作法,其中較為知名的分別是由英國的資訊委員會辦公室(Information Commissioner’s Office)所提出的「The ICO PIA handbook」,以及加拿大財政部秘書處(Treasury Board of Canada Secretariat)所提出的「Privacy Impact Assessment Guidelines」。

英國的PIA流程比較完整複雜,它是先以範圍來選擇實施的內容,主要分為全範圍PIA、小範圍PIA、隱私法和其他法規符合確認、個資法法規符合確認等四項,其中全範圍和小範圍PIA的進行再區分為五個階段,分別是:初始階段(Preliminary phase)、準備階段(Preparation phase)、諮詢和分析階段(Consultation and analysis phase)、文件化階段(Documentation phase)、審查與稽核階段(Review and audit phase)

加拿大則是使用比較簡易清楚且近似風險管理的作法,其中包括了計畫、分析和教育訓練活動,主要分為四項流程來進行,但無論是英國還是加拿大,其共同點為皆是採用問卷方式來進行分析。

個人隱私衝擊分析流程

實施個人隱私衝擊分析,能夠有效識別出在其他管理層次下看不到的個資風險,藉由訪談相關人員的過程,可以改善與個資有關的政策、系統設計、採購決策及作業流程。以下以加拿大的PIA作法為例,說明實施個人隱私衝擊分析的流程。

步驟1:專案啟動(Project Initiation)

PIA的第一步是決定要實施的範圍和採用的工具,在初期組織若是對於個人隱私風險還不是那麼清楚,決定是否要實施PIA也還有雜音的時候,建議可以先做一次初始需求評鑑(Preliminary PIA),藉由審查相關的政策和指導原則,以及可使用的資源與技能,並獲得外部像是隱私權、法規和技術等專家的建議之後,再正式的來實施全範圍的PIA

步驟2:資料流分析(Data Flow Analysis)

在這個階段需要去描述和分析組織目前的業務流程架構,以便在工作計畫書中清楚的描述個人資料流的現況。基本上,任何的業務活動都會牽涉到資訊的管理,並且包括四項元素,分別為:資訊收集、交易流程、交易結果和以上三者所留下的記錄。在資料流分析過程中,至少要識別出業務流程主要的元件,例如人員、設備等,以及個人資料如何透過業務流程被蒐集、處理、利用、揭露和保存,建議以清楚易懂的圖形來呈現彼此的關聯,而以表格方式(如表1)來呈現單一資料或群組的現況。

1:個人資料清單

個人隱私分析是要去檢查在個人資料流中,是否適用於個人隱私政策和法規要求,這部份可透過問卷與檢查表的使用,來識別主要的個資風險或是相關的弱點,其結果將作為個人隱私衝擊分析報告的基礎。至於問卷內容則可參考所在地法令或主管機關要求,以設計出可明確分辨現行流程是否符合法令要求的內容,如表2所示,問卷內容包含了一系列問題和是與否的選項,其中「細節描述」的欄位是用來解釋特定的要求符合或不符合的原因,以作為主管機關的參考,而每一階段的最後則提供「討論重點」,以記錄過程中重要的事項。

步驟3:個人隱私分析(Privacy Analysis)

2PIA問卷範例

步驟4:個人隱私衝擊分析報告(Privacy Impact Analysis Report)

藉由上述所採取的步驟,最終將會產生在PIA之中最重要的個人隱私衝擊分析報告,在這份文件中將呈現目前隱含個資風險的結果,也會作為後續決定降低或消除風險的控制措施的重要參考依據,同時它也會是和組織利害關係人溝通的重要工具。

個人資料安全實務建議

整體而言,組織可以藉由導入個人資訊管理制度(PIMS),來達到個資法要求的個人隱私維護和個人資料保護兩個目標,在實務方面建議分為以下三步驟來進行:

第一步,請務必逐條了解法令之要求,並建立個人資料保護所需的基礎知識。實務作法為可邀請和個人資料蒐集、處理和利用有關的各部門相關人員,透過專家講座、教育訓練等方式,來協助員工獲得個資保護所需的認知與技能,並且清楚了解個人職務所扮演的角色和應盡的義務。

第二步,建立組織的個人資料管理制度,可參考BS 10012個人資訊管理系統標準內容,並依據個人資料保護的八大原則,檢視組織目前所蒐集、處理和利用的個資現況,並進行這些活動的風險評鑑,透過個人隱私衝擊分析(PIA)的方法,來評估與個資有關的風險。

第三步,落實個人資料保護機制,可配合管理制度的要求,在作業流程上部署個資或資訊安全防護技術,例如資料加密、身分驗證、資料庫稽核、資料外洩防護(DLP)、網路存取控制(NAC)等方案,協助控管個資處理流程中可能產生的安全風險。(本文刊載於2010年8月號網管人雜誌)