隨著個人資料保護法的正式上路,身為資訊人員的您,除非本身具有法律背景,否則面對多如牛毛的法條與施行細則,在日常的IT維運中是否真能派上用場,若心中還是存疑的話,或許就該尋求其他的因應之道了。
在IT維運的日常工作之中,除了近年來日漸受到重視的軟體版權問題之外,資訊人員和法律打交道的機會幾乎是微乎其微,尤其是對於所謂的個資保護與隱私權概念,恐怕也是一知半解。但是隨著個人資料保護法已經正式實施,在許多的企業中,個資法所要求的個資保護相關工作,許多責任都落到了資訊人員身上,這也驅使資訊人員必須要去學習這門新的顯學。
對資訊人員來說,法律知識是有專業門檻的,學習的重點也不是要去詮釋個資法條的意義,而是要將個資保護與隱私維護的精神,落實在日常的資訊工作之中。
只是目前許多由法律專家所提出的建議,不見得能夠完全應用在資訊系統,所以到底該如何找到一個因應方法,就成為資訊人員頭痛的問題之一。
為了因應個資法,有人提出應該要先建置各項資安產品,如果沒有採用相關技術來確保資訊安全的話,想要達成個資法的要求,幾乎是項不可能的任務。事實上,雖然落實資安的確是個資保護的第一步,但是,企業如果想要遵循個資法的要求,除了導入資安技術之外,更需要懂得隱私相關的領域知識與管理實務做法,才能夠有效地達成個資法中對於個資保護與隱私維護的目標。
國際認可的隱私保護專家
目前,在國際上和個資保護與隱私維護有關的組織單位中,IAPP(International Association of Privacy Professionals)
國際隱私專家協會是最大且廣泛受到全球企業認可的非營利機構,它成立於西元2000年,在全球70個國家之中有超過一萬名的專家會員。
IAPP的營運宗旨是希望協助各個產業和組織,能夠有效地保護其所控管的個人資料,並且提供給所有個資保護與隱私維護有關的從業人員,一個獲得教育訓練、知識交流和經驗分享的平台,同時也讓隱私專業人員在職業生涯中能有更好的發展。
|
▲IAPP(International Association of Privacy Professionals)國際隱私專家協會率先提出了針對隱私相關從業人員的CIPP(Certified Information Privacy Professional)認證考試。 |
在2004年,IAPP率先提出了針對隱私相關從業人員的CIPP(Certified Information Privacy Professional)認證考試,並且發展出橫跨美國、加拿大、歐洲和資訊科技產業的多項資訊隱私專家認證,一共包含了CIPP/US(美國)、CIPP/C(加拿大)、CIPP/E(歐洲)、CIPP/G(政府)及CIPP/IT(資訊科技)等五種證照,分別說明如下。
- CIPP/US:主要是針對美國的隱私法律和各州頒布的個人資料保護和隱私維護法規要求,取得此一認證的人員,可顯示其已熟悉美國本土相關的隱私保護法規和所需職責,並且了解敏感的個人資料從美國傳輸至歐洲或其他國家的法令規定。
- CIPP/C:主要是針對加拿大的資訊隱私法,對於想要取得此一認證的人員,必須熟悉加拿大聯邦和各省的隱私保護原則、要求及相關責任。
- CIPP/E:它是針對整個歐洲國家個人資料保護法、歐盟重要的隱私保護綱領、個資保護的實務做法及跨國資料傳輸的要求,想要取得此一認證的人員,必須先了解歐洲法律法規的要求以及實務上的規範才行。
- CIPP/G:這項認證主要是提供給與美國政府單位相關合作的人員,能夠了解美國政府的隱私法規和特定政府部門的個資保護要求,同時相關的隱私維護知識,也適用於其他公眾事務與私人企業。
- CIPP/IT:這項認證主要是適合資訊相關從業人員,若是取得了此一認證,可以展現個人已了解各項資訊科技產品與資訊服務,在研究、開發、部署和稽核的過程中,能夠應用個資保護與隱私維護的實務做法,充分地了解並滿足相關個資與隱私法規的要求。
資訊人員必備的隱私知識
目前,許多資訊人員為了獲得與個資保護有關的專業知識,除了瀏覽個資法律條文或參加資安研討會之外,並沒有適當的管道可提供足夠的個資保護與隱私維護專業訓練,尤其是許多負有重責大任的資訊人員,也不清楚自身的專業知識技能,是否已足以應對個資法對於資訊系統的要求。
因此,透過CIPP所提供系統化的知識領域要求,無論是從頭開始學習個資保護與隱私維護領域知識,或是驗證自己的資安專業技能是否已經足夠,可將它視為是一項自我審查的好方法。如果你想要取得這項認證,首先必須要加入成為IAPP的會員,並且通過Certification Foundation基礎考試,接下來才能依照自己的專業領域或需求,選擇想要取得的證照。