在資安的領域之中,若是談到資料的保護,實施起來並不是一件十分困難的事,只要組織的管理階層願意提供支持,同時參考資安相關的標準來建立管理制度,並且採取適當的技術控制措施,在資安方面,即可達到一定程度的防護要求,也能大幅降低因發生資安事件而對營運造成衝擊的風險。
不過,只要在保護的資料之中牽涉到個人資料,並且含括了隱私維護的要求,單靠技術層面的控管,恐怕就不足以因應法律層面的要求。因此,如果要落實個人隱私維護,就需要補充更多對法令的認識,以及對於個人隱私的認知與尊重,這和單純的資安防護比較起來,有著相當不同的思維與因應作法,也是一項更加多元的挑戰。
近代隱私維護發展的歷史
所謂的隱私,指的是個人能夠自由地選擇在什麼情況之下,向哪些人揭露多少程度的個人資料和行為,主張個人有權利去保護針對個人生活與家庭可能產生的直接侵擾,並且限制與個人有關的資訊被發布。
從歷史發展的角度來看,隱私的概念最早源自古希臘和聖經,在回教可蘭經中也有相關的記載,對支持隱私權的人士來說,在1890年由Samuel Warren和Louis Brandeis在「The right to privacy」這篇論文中所提到的「the right to be let alone」,已成為支持隱私權最重要的引用基礎。
至於現代第一部個人資料保護法,是在1970年由德國公布,主要目的是因應資訊科技的高度進步和發展,可能會對個人隱私所造成的影響;同年,美國也誕生了第一部有關隱私的法律,但主要是針對保護消費者的信用資訊。而隱私保護最知名的論點,則是來自於小說「1984」裡的老大哥隨時都在看著你(big brother is watching you),讓人們得以了解個資保護與隱私維護的重要性。
個資的類別與區分原則
依據個人資料保護法的定義,所謂的個資是指可以直接或間接識別到特定個人的資料,這部分與歐盟的個資定義相同,換句話說,只有屬於可識別到個人的資料,才會受到個資法的保護。因此,如果有些資料加以去識別化,或是採取匿名或遮蔽的方式,就不適用於個資法的要求,即可歸屬於非個人資料。
在個資法尚未實施之前,大多數企業對於資料保護的要求,主要都是針對非個人資料,包括像是營運資訊、研發產權、產品與服務資訊等,所採取的方式也比較簡單,只需保護資料本身即可,不需要兼顧所謂的個人隱私要求。只不過,在所謂「可識別至特定個人」這條線之間,仍然存在的許多模糊地帶,例如以網路IP位址為例,到底它是否屬於個資,在不同國家的法律和法庭之間,就有著不同的認定方式。
以歐盟(EU)而言,IP位址是被視為可識別至特定個人的個資,美國聯邦貿易委員會(Federal Trade Commission;FTC)也認為,若IP位址與醫療健康資訊有關,就會被認定為個資之一。但是,在愛爾蘭的法庭卻認為,IP位址並不構成所謂個人資料的要件,因此不被視為是需要保護的個資。
從隱私的角度來看,目前與個人資料有關的隱私類別,可以區分為以下四類。
- 資訊隱私:包括了醫療資訊、金融資訊、網路使用與社交活動記錄等,主要關注於需建立規則來妥善地管理和個人資料有關的蒐集與處理行為。
- 身體隱私:與身體有關的隱私包括了所進行的身體檢查、藥物測試、基因測試,也包含了和個人有關的血統、墮胎、收養等資訊,它主要專注在與個人身體有關的各項行為。
- 通訊隱私:要求保護與個人通訊有關的意圖和內容,包括了傳統信件、電子郵件、電話溝通及其他可用來實現通訊行為的軟硬體設備,像是現今流行的即時通訊App等。
- 領域隱私:它是和個人環境有關,這些區域包括了個人住宅、工作場所和公共區域等,主張可以用來侵擾他人領域的能力,都應受到適當的限制,例如架設可監控錄影的攝影機、要求出入需要檢查身分證件,以及其他類似的做法等。
企業面臨的個資與隱私風險
為了保障個人隱私和說明個資被蒐集的情況,許多組織都會在其用來蒐集個資的管道中,透過個資保護政策(policy)或隱私聲明(notice)來告知使用者,這些隱私政策和聲明的目的,除了可以宣達組織的個資保護責任之外,同時也是為了教育使用者的隱私觀念。
對組織而言,由於隱私所牽涉的範圍很廣,可能包括了個人、法律和商業運作等諸多層面,加上許多的隱私保護要求,也是來自於法律法規、產業協定和商業合約等,除了需要考慮這些外部要求之外,內部的聲音同樣也不能忽視,包括像是保護員工個人資料、提供工作場所的隱私維護、實施資訊系統的監控與記錄等,都是企業在評估個資與隱私風險時,不可遺漏的一環。
為了有效管理個資與隱私所帶來的風險,最簡單的方式是從個資生命週期來著手,以下是在各個階段需要審慎考量的重點。
1. 蒐集階段:個資的蒐集應受到適當的限制,更要取得當事人的同意,以避免過度蒐集。舉例來說,以往一些大賣場在舉辦抽獎活動時,總是要求消費者必須在抽獎券上填寫其個人資料如姓名、電話、身分證字號等,但讓人無法理解的是,難道沒有身分證字號就無法進行抽獎嗎?其中之一的解釋理由是因為獎品有課稅問題,所以就必須要填寫身分證字號,可是事實上,如果已經有了姓名和電話,在中獎之後再通知中獎人填寫即可,若在一開始的時候就強制要求,這就是所謂的過度蒐集了。
2. 處理階段:所謂處理是指將所蒐集的個人資料編輯成為個人檔案的過程,在這個過程之中,必須確保資料的正確性與完整性,並且實行安全措施以防止資料受到未經授權的竄改。處理過後的資料,組織通常會加以儲存,在儲存時必須注意資料所存放的地點是否安全,以及指定所需保存的期限。
3. 利用階段:組織必須確保個人資料的利用需符合當初蒐集時所告知的使用目的,並且限制只能在此範圍內利用。如果需要做不同的用途時,依照個人資料保護法的規定,必須重新取得當事人的書面同意才行。
4. 傳輸階段:個人資料在傳輸時,必須注意所使用的資料載體是否安全,最常見的載體包括了網路和可移動式儲存裝置(如USB硬碟、隨身碟、光碟、磁帶等)。在透過網路傳輸時,請務必採取加密的方式(如SSL或VPN),至於使用可移動式儲存裝置時,則需要了解原先設定的權限控管方式,若無法延伸至這些設備上時,就要採取補償性的控制措施才行,像是對資料進行加密,或採用可上鎖的箱子來攜帶資料,這些都是實務上可行的辦法。
5. 銷毀階段:一旦個人資料過了需要保存的年限,最好的方式就是把它銷毀,以降低持續保管可能帶來的風險。對硬體設備而言,實體破壞是確保資料完全消失的最好作法,其他可採取的方式還包括低階格式化和消磁等。至於紙本文件的銷毀,則可採取集中焚毀或是水銷方式進行,目前也有業者提供了可全程監控,並且附上證明的資料銷毀服務。
尊重個資當事人應有的權益
對個資的當事人來說,除了應告知其個資將如何被蒐集之外,最重要的前提是必須獲得當事人的同意才行,因此蒐集個資的組織除了提供明顯的宣告之外,並且也要明確陳述其利用目的,以便足以讓當事人明瞭並獲得其同意。
目前,個人資料來源主要有以下三個:
- 公開記錄:通常是由政府來蒐集並提供公開查詢,例如房產交易與地政資訊等。
- 公眾可得的資訊:指容易被大眾所取得的個資,包括電信公司提供的用戶電話簿、報章雜誌、媒體報導,以及今日最常見的網路搜尋引擎、社群網站等,可由此輕易獲得眾多和個人有關的資訊。
- 非公開的資訊:指受到法律保護或依慣例不太容易被取得的資訊,包括了醫療記錄、金融交易資訊、員工受雇資料等。 組織在蒐集個資時,還必須要給予當事人選擇提供與否的權利,實務上常見的作法為提供「Opt in(選擇參與)」和「Opt out(選擇退出)」這二種方式。Opt in是指當事人主動地確認其個人資訊可被蒐集或分享給第三方,例如在填寫會員申請表時主動勾選同意分享其資料供其他合作廠商作為寄發廣告之用,或是願意收到來自第三方所寄送的產品資訊。另一種Opt out方式,則是提供給當事人退出的選項,例如在加入網路新聞論壇時,若當事人未勾選拒絕接受所傳送的電子郵件訊息時,相關的訊息將會持續發送給當事人,直到其主動表達拒絕為止。
如今,依據個人資料保護法所賦予當事人的權利,當事人可以向持有其個資的組織,要求提供查詢、閱覽其個資檔案或是提供複製本,並且也可以要求組織補充、更正或刪除其個人資料,甚至可要求停止蒐集、處理和利用其個資。
因此,組織務必要指派相關人員,並且制訂一項個資查詢回覆的作業流程,以因應當事人依法所提出的請求。對許多組織而言,從現在開始理解並尊重個資當事人的隱私權利,或許就是邁向善盡個資保護責任的第一步了。(本文刊載於2013年2月號網管人雜誌)
[參考資料]
IAPP - Information Privacy (Official reference for CIPP)
沒有留言:
張貼留言