在IT維運的日常工作之中,除了近年來日漸受到重視的軟體版權問題之外,資訊人員和法律打交道的機會幾乎是微乎其微,尤其是對於所謂的個資保護與隱私權概念,恐怕也是一知半解。但是隨著個人資料保護法已經正式實施,在許多的企業之中,個資法所要求的個資保護相關工作,許多責任都落到了資訊人員身上,這也驅使資訊人員必須要去學習這門新的顯學。
對資訊人員來說,法律知識是有專業門檻的,學習的重點也不是要去詮釋個資法條的意義,而是要將個資保護與隱私維護的精神,落實在日常的資訊工作之中。只是目前許多由法律專家所提出的建議,不見得能夠完全應用在資訊系統,所以到底該如何找到一個因應方法,就成為資訊人員頭痛的問題之一。
為了因應個資法,有人提出應該要先建置各項資安產品,如果沒有採用相關技術來確保資訊安全的話,想要達成個資法的要求,幾乎是項不可能的任務。事實上,雖然落實資安的確是個資保護的第一步,但是,企業如果想要遵循個資法的要求,除了導入資安技術之外,更需要懂得隱私相關的領域知識與管理實務做法,才能夠有效地達成個資法中對於個資保護與隱私維護的目標。
國際認可的隱私保護專家
目前,在國際上和個資保護與隱私維護有關的組織單位中,IAPP(International Association of Privacy Professionals)國際隱私專家協會是最大且廣泛受到全球企業認可的非營利機構,它成立於西元2000年,在全球70個國家之中有超過一萬名的專家會員。
IAPP的營運宗旨是希望協助各個產業和組織,能夠有效地保護其所控管的個人資料,並且提供給所有個資保護與隱私維護有關的從業人員,一個獲得教育訓練、知識交流和經驗分享的平台,同時也讓隱私專業人員在職業生涯中能有更好的發展。
在2004年,IAPP率先提出了針對隱私相關從業人員的CIPP(Certified Information Privacy Professional)認證考試,並且發展出橫跨美國、加拿大、歐洲和資訊科技產業的多項資訊隱私專家認證,一共包含了CIPP/US(美國)、CIPP/C(加拿大)、CIPP/E(歐洲)、CIPP/G(政府)及CIPP/IT(資訊科技)等五種證照,分別說明如下。
- CIPP/US - 主要是針對美國的隱私法律和各州頒布的個人資料保護和隱私維護法規要求,取得此一認證的人員,可顯示其已熟悉美國本土相關的隱私保護法規和所需職責,並且了解敏感的個人資料從美國傳輸至歐洲或其他國家的法令規定。
- CIPP/C - 主要是針對加拿大的資訊隱私法,對於想要取得此一認證的人員,必須熟悉加拿大聯邦和各省的隱私保護原則、要求及相關責任。
- CIPP/E - 它是針對整個歐洲國家個人資料保護法、歐盟重要的隱私保護綱領、個資保護的實務做法及跨國資料傳輸的要求,想要取得此一認證的人員,必須了解歐洲法律法規的要求及實務上的規範才行。
- CIPP/G - 這項認證主要是提供給與美國政府單位相關合作的人員,能夠了解美國政府的隱私法規和特定政府部門的個資保護要求,同時相關的隱私維護知識,也適用於其他公眾事務與私人企業。
- CIPP/IT - 這項認證主要是適合資訊相關從業人員,若是取得了此一認證,可以展現個人已了解各項資訊科技產品與資訊服務,在研究、開發、部署和稽核的過程中,能夠應用個資保護與隱私維護的實務作法,充分地了解並滿足相關個資與隱私法規的要求。
目前,許多資訊人員為了獲得與個資保護有關的專業知識,除了瀏覽個資法律條文或參加資安研討會之外,並沒有適當的管道可提供足夠的個資保護與隱私維護專業訓練,尤其是許多負有重責大任的資訊人員,也不清楚自身的專業知識技能,是否已足以應對個資法對於資訊系統的要求。
因此,透過CIPP所提供系統化的知識領域要求,無論是從頭開始學習個資保護與隱私維護領域知識,或是驗證自己的資安專業技能是否已經足夠,可將它視為是一項自我審查的好方法。如果您想要取得這項認證,首先必須要加入成為IAPP的會員,並且通過Certification Foundation基礎考試,接下來才能依照自己的專業領域或需求,選擇想要取得的證照。
CIPP基礎考試的時間為90分鐘,一共有90個單選題,考題所涵蓋的知識領域(Common Body of Knowledge)包括了個資保護與隱私維護的共通概念與國際通用的原則,無論是屬於哪個國家或產業的人員,都必須要對這些知識有一定程度的熟悉與了解,主要涵蓋的四個領域如下:
- 隱私維護的一般原則與方法 - 應考人員必須了解近代隱私維護發展的歷史、個資保護的架構與原則、個人資料的類別與定義、個資保護與隱私維護對企業可能的風險與衝擊,以及資訊的生命週期。
- 司法管轄與產業要求 - 應考人員必須了解不同地理區域與國家,對於個資保護與隱私維護的法令要求,也要了解包括健康醫療、金融、電信、線上網站、政府、行銷、人資等不同產業對於隱私維護的要求。
- 資訊安全與個資保護措施 - 應考人員必須熟悉有關資安的各項基礎知識,像是確保資訊安全的關鍵要素、ISO 27001資安管理標準、資安威脅與弱點的識別、資安控制措施等。
- 線上隱私維護 - 應考人員必須了解含有個人資料的網站,應如何落實個資保護與隱私維護,並且熟知網站安全機制和確保線上隱私的各項基本要求。
在通過CIPP基礎考試之後,接下來還需要參加額外的單科考試,才能正式取得CIPP提供的任一專業證照,CIPP/IT的考試時間為70分鐘,需要完成作答60道試題,考題所涵蓋的知識領域包括:
- 系統活動對使用者隱私的影響 - 應考人員需要了解系統中所包含的個人資料類別與處理流程、了解系統開發過程中的隱私維護、了解資料存取儲存與傳輸的安全,以及如何將隱私要求納入系統設計之中。
- 使用者對隱私的行為要求與期望 - 應考人員必須了解當資訊系統作為服務提供給使用者時,使用者對於隱私維護的期許作法,例如在電子商務服務中使用確保個人隱私與權益,定義營運人員的個資保護職責,以及系統監控的作法與要求等。
- 個資保護與隱私維護的方法 - 應考人員需要了解資訊系統可實施的保護作法來消弭與法規要求的落差,並且熟悉可以採用的安全技術與隱私維護工具。
- 提供告知與選擇 - 應考人員需要明白如何在資訊系統之中,提供法律所要求的告知事項和使用者所需的隱私選項,並且獲得使用者的同意。
- 稽核與實施IT相關隱私標準 - 應考人員需要了解在資訊服務中,所適用的個資保護與隱私維護法規標準,例如ISO 38500、COBIT、ITIL、PCI DSS、HITRUST等,同時也要熟悉如何進行個資保護與隱私稽核,以及明白IT稽核員應有的角色與職責。
- 不同資訊技術所帶來的隱私衝擊 - 資訊科技不斷地發展進步,面對各項新興的資訊服務,像是雲端應用、RFID、GPS與GIS地理資訊系統、身分識別技術等,應考人員必須了解其可能帶來的隱私衝擊與風險。
對於資訊人員而言,透過準備並取得CIPP/IT認證的過程,可以強化自己對於個資保護與隱私維護要求的專業能力,尤其是一旦被組織指定為個資工作負責人或窗口,將有充分的自信與實務知識,能夠協調人員、分配資源、指派工作以達成個資法的各項要求。
CIPP/IT認證的好處是它不限定在國家、特定產業和工作職務,無論您是系統操作人員、程式開發人員、硬體研發人員、IT經理、網站管理人員、法務人員、資安人員等,都可以藉由閱讀考試教材或參加課程訓練,來補足自己在個資保護與隱私維護的專業認知與實務技巧。
目前,除了各國政府單位之外,包括了IBM、HP、Intel、微軟、Ernst & Young、PWC、KPMG、Deloitte等四大會計事務所都是國際上認可CIPP證照的企業之一,在這新的一年,如果您有志於朝向個資保護與隱私維護的工作目標發展,或許CIPP/IT就是您的最佳入口了。(本文刊載於2013年1月號網管人雜誌)
註:CIPP/IT目前已更換名稱為"Certified Information Privacy Technologist (CIPT)"
[參考資料] https://www.privacyassociation.org/
沒有留言:
張貼留言