2013年7月15日 星期一

[專欄] 個資保護與隱私維護系列(五) - 保護個資的安全控制措施

上一次我們談到了許多和個人隱私有關的事項,雖然同屬於個人資料,但是在不同行業之間,隨著所適用的法規和客戶的期許不同,對個人資料的保護要求也有所差異,本文則將從評估個人資料的價值談起,探討適用於個資的安全控制措施。 

依據個人的觀察,雖然個資法的正式實施,已經讓企業明白保護個資是勢在必行的工作,但是究竟該由誰來負責或主導,仍然存在著許多不同的意見。

有些人認為,公司內部和個人有關的資料,大多存放在人事和財務部門,因此應該要由這些部門來率先實施推動;人事和財務部門則認為,個人資料都存放在公司的檔案伺服器和資料庫中,負責維護管理的是資訊部門,而且個資保護又和資訊安全有關,所以理應由資訊部門來主導;資訊部門則摸著頭殼說,可是這些個人資料都不是由我們來蒐集和利用,充其量只是透過資訊系統來處理儲存而已,應該是由蒐集個資的業務和利用個資的行銷部門來運作才對,怎麼會是我?

探究大家不願意主導或負責的原因,主要還是來自於面對這項新的議題,心裡卻不太清楚究竟該從何做起,如果真的被老闆賦予任務而接手了,與其將燙手山芋攬在自己身上,倒不如一開始就放手把它交給別人來應對就好。 

事實上,許多企業在資安方面都已經有所要求,有些甚至都已取得了ISO 27001的資安管理標準認證,如果藉由資訊安全的角度來出發,一樣採取企業風險管理的方式來因應,在個資保護與隱私維護方面,它就會是很好的第一步了。

參考個資保護相關標準 

對於個人資料的安全保護,如果還是不了解要如何實施,最簡單的方式就是參考其他也有個資法律國家的相關經驗,或是參考受到國際認可的實務準則和標準。舉例來說,在先前的文章曾經提過的OECD八項隱私保護原則、APEC的九項隱私保護綱領,以及美國的安全港架構協定,就是可用的參考依據。 

至於在國際認可的個資保護標準方面,由英國標準協會所提出的BS 10012個人資訊管理標準,也是目前在個資管理方面一項很好的參考來源,它採用了常見的PDCA (Plan, Do, Check, Act)管理流程,可將企業對於個資保護的期許和法律要求作為基礎,進而建立一項個資保護的管理計畫(P),然後根據這項計畫在企業中實施運作(D),接著藉由運作過程中所產出的相關文件記錄,透過管理審查和稽核方式進行監督(C),再依照稽核的結果要求進行改善行動(A),以確保個資管理制度實施的有效性。 

除了英國的BS 10012標準之外,目前由經濟部委託資策會所研擬,針對電子商務業者的「台灣個人資料保護與管理制度(TPIPAS)」,也可作為企業在實施個人資料保護措施的參考。 

TPIPAS制度的運作分為三個階段,它先從制度的規劃開始來確立個資保護的要求,然後透過教育訓練的方式來培育所需的建置和稽核人員;接下來則是透過受過訓練的內部人員來自行建置,或是藉由外部輔導顧問的協助,將個資保護與管理制度導入企業之中;最後再由合格的稽核人員進行實地審查,確認制度實施的有效性之後,再向主管單位申請發放合格的隱私標章,以此作為企業落實個資保護的一項證明。

進行個資盤點是第一步 

如果企業有心要保護個人資料,就必須要了解目前到底持有多少的個人資料,由哪些部門來進行蒐集、採取什麼方式來處理、存放在什麼地點,以及如何地利用這些個人資料。一般而言,需要先釐清資料的蒐集方式(自動化或人工),以作為進行個資盤點的基礎,然後再藉由實際的業務流程來追蹤資料的產生過程,接著再清查並掌握部門所持有的個人資料清單,資料清單上面請務必清楚記錄以下幾個重點。

  1. 資料的內容:記錄資料的名稱,並且描述是屬於何種業務流程而產生。 
  2. 資料存在形式:通常資料的形式可簡單區分為紙本和電子檔案兩種。 
  3. 資料儲存位置:若是紙本文件,記錄其儲存的地點位於哪一樓層與檔案櫃編號;若是電子檔案,則註明其儲存的應用系統、伺服器或資料庫,也可以視情況加入存放的儲存媒體,例如光碟、磁帶、磁卡等。
  4. 蒐集目的:說明蒐集的目的為何,這部分可參照由法務部所公布的個資蒐集目的和類別。 
  5. 蒐集單位:記錄個資是由哪個部門或人員所蒐集的。
  6. 處理單位:記錄個資是由哪個部門或人員進行編輯和建檔。 
  7. 利用單位:記錄個資是由哪個部門來使用,包括可能利用的其他第三方單位。 
  8. 資料保護措施:說明針對此項個資的保護作法,例如加密、上鎖、權限控管等。 

著手評估個資的影響價值 

依據個人資料保護法的定義,只要能夠以直接或間接方式識別到特定個人的資料,就屬於應該要妥善加以保護的個人資料。換句話說,個人資料除了常見的姓名、電話、地址、身分證字號之外,可能涵蓋的內容會有百百種,因此到底有哪些資料應該要優先進行控管,就是一個必須要釐清的問題。 

從風險管理的角度來看,對企業最有價值的資料,就是萬一不小心遺失、損毀或外洩時,會對企業造成最多損失且影響最大的資料,這也就是首先要保護的對象,但是損失多寡和影響程度到底要如何來判定呢? 

判斷個人資料的價值,我們可以從資料本身所具有的機密性、完整性及可用性著手,以機密性而言,取決於所賦予的機密等級,不管是電子檔案或紙本文件,我們都可以將其簡單地分為高度機密、機密、內部使用和公開等級別,在實務方面,只要是包含有個人資料在內的文件或檔案,通常會是屬於機密級別,如果其中包括了敏感個資如健康檢查或醫療記錄,則會指定更高的等級為高度機密。 

資料分級的目的,主要是為了確保讓所有人員在處理這些檔案和文件時,明白需要採取的相對安全措施是什麼,例如傳遞屬於機密等級的電子檔案時必須先進行加密,紙本的機密文件則必須要將內容彌封起來;針對高度機密的資料則有更嚴格的身分驗證機制,確保只有少數經過授權的人員才可以存取等,這些都是常見的安全控制措施。 

除了機密性之外,我們也要從資料的完整性和可用性來加以評估,判定如果資料內容受到不當竄改或是不正確時,以及資料在特定的時間內無法順利地存取時,對於使用者、部門和企業的衝擊程度有多大,或是估算可能造成的損失金額有多少,一旦發現這些衝擊程度大和損失金額多的資料,肯定就是優先需要實施保護的對象。 

制訂個資交換安全政策 

在企業中完成個人資料的盤點清查,評估個資可能的衝擊與價值,選擇適當可行的控制措施,並定期的實施內部審查稽核,再針對需要改善的項目採取行動,這些作法都是企業整體風險管理中的一部分,而且是需要持續來重覆進行的。 

針對企業可能與外部交換個人資料的高風險行為,建議也要制訂一項資料交換的安全政策,作為企業內部人員可遵循的參考依據,個資交換安全政策的內容重點如下:

  • 交換目的:要求內部人員與外部進行資料交換時,必須明確說明交換的目的,也要事先獲得主管的授權,並將授權的記錄歸檔留存。 
  • 交換內容:要求明確說明資料交換的內容是什麼,以及所屬的機密等級為何,如果內容涉及敏感性的個資,需要確認是否符合法律的規定,並且已獲得當事人的同意。 
  • 交換方式:要求說明所採取交換資料的方式,例如使用電子郵件、網路FTP檔案傳輸,或是存放在USB可移動式儲存媒體、燒錄光碟,以及透過郵寄、專人送達等。
  • 安全責任:說明個資交換應遵守的法律規定和內部的作業規範,以及內部人員應有的安全責任和外部人員必要的保密要求等。 
  • 安全措施:要求依據所交換資料被指定的機密等級,實施相對應的安全控制措施,例如檔案加密和電子簽章、使用可上鎖的容器、專人傳遞和確認當事人簽收等。
  • 交換記錄:針對以上的項目,在資料交換的過程中,要求保存相關的文件化記錄,例如個資交換申請表、檔案傳輸記錄、簽署的保密協定、簽收單據等。 

總結 

個資保護與隱私維護所牽涉的層面相當廣泛,包括需要理解法律和主管機關的要求、建立管理面的保護制度,以及導入技術面的控制措施等,這些實在不是三言兩語就能交待清楚,並且可以順利完成的。但無論如何,身為資訊相關人員的您,在這場個資保護大戰之中,肯定是不可或缺的一員,與其被動的等待他人要求和執行,倒不如積極地從各個層面去了解可行的作法,持續累積和補充所需的實務知識,然後把它應用在自己的工作之中,藉此也將創造出更寬廣的職場生涯之路。(本文刊載於2013年5月號網管人雜誌)

沒有留言: