上一次我們談到了許多和個人隱私有關的事項,雖然同屬於個人資料,但是在不同行業之間,隨著所適用的法規和客戶的期許不同,對個人資料的保護要求也有所差異,本文則將從評估個人資料的價值談起,探討適用於個資的安全控制措施。
依據個人的觀察,雖然個資法的正式實施,已經讓企業明白保護個資是勢在必行的工作,但是究竟該由誰來負責或主導,仍然存在著許多不同的意見。
有些人認為,公司內部和個人有關的資料,大多存放在人事和財務部門,因此應該要由這些部門來率先實施推動;人事和財務部門則認為,個人資料都存放在公司的檔案伺服器和資料庫中,負責維護管理的是資訊部門,而且個資保護又和資訊安全有關,所以理應由資訊部門來主導;資訊部門則摸著頭殼說,可是這些個人資料都不是由我們來蒐集和利用,充其量只是透過資訊系統來處理儲存而已,應該是由蒐集個資的業務和利用個資的行銷部門來運作才對,怎麼會是我?
探究大家不願意主導或負責的原因,主要還是來自於面對這項新的議題,心裡卻不太清楚究竟該從何做起,如果真的被老闆賦予任務而接手了,與其將燙手山芋攬在自己身上,倒不如一開始就放手把它交給別人來應對就好。
事實上,許多企業在資安方面都已經有所要求,有些甚至都已取得了ISO 27001的資安管理標準認證,如果藉由資訊安全的角度來出發,一樣採取企業風險管理的方式來因應,在個資保護與隱私維護方面,它就會是很好的第一步了。
參考個資保護相關標準
對於個人資料的安全保護,如果還是不了解要如何實施,最簡單的方式就是參考其他也有個資法律國家的相關經驗,或是參考受到國際認可的實務準則和標準。舉例來說,在先前的文章曾經提過的OECD八項隱私保護原則、APEC的九項隱私保護綱領,以及美國的安全港架構協定,就是可用的參考依據。
至於在國際認可的個資保護標準方面,由英國標準協會所提出的BS 10012個人資訊管理標準,也是目前在個資管理方面一項很好的參考來源,它採用了常見的PDCA(Plan, Do, Check, Act)管理流程,可將企業對於個資保護的期許和法律要求作為基礎,進而建立一項個資保護的管理計畫(Plan),然後根據這項計畫在企業中實施運作(Do),接著藉由運作過程中所產出的相關文件記錄,透過管理審查和稽核方式進行監督(Check),再依照稽核的結果要求進行改善行動(Act),以確保個資管理制度實施的有效性。
除了英國的BS 10012標準之外,目前由經濟部委託資策會所研擬,針對電子商務業者的「台灣個人資料保護與管理制度」(TPIPAS),也可作為企業在實施個人資料保護措施的參考。
TPIPAS制度的運作分為三個階段,它先從制度的規劃開始來確立個資保護的要求,然後透過教育訓練的方式來培育所需的建置和稽核人員;接下來則是透過受過訓練的內部人員來自行建置,或是藉由外部輔導顧問的協助,將個資保護與管理制度導入企業之中;最後再由合格的稽核人員進行實地審查,確認制度實施的有效性之後,再向主管單位申請發放合格的隱私標章,以此作為企業落實個資保護的一項證明。
進行個資盤點是第一步
如果企業有心要保護個人資料,就必須要了解目前到底持有多少的個人資料、由哪些部門來進行蒐集、採取什麼方式來處理、存放在什麼地點,以及如何地利用這些個人資料。一般而言,需要先釐清資料的蒐集方式(自動化或人工),以作為進行個資盤點的基礎,然後再藉由實際的業務流程來追蹤資料的產生過程,接著再清查並掌握部門所持有的個人資料清單,資料清單上面請務必清楚記錄以下幾個重點。
- 1· 資料的內容:記錄資料的名稱,並且描述是屬於何種業務流程而產生。
- 2· 資料存在形式:通常資料的形式可簡單區分為紙本和電子檔案兩種。
- 3· 資料儲存位置:若是紙本文件,記錄其儲存的地點位於哪一樓層與檔案櫃編號;若是電子檔案,則註明其儲存的應用系統、伺服器或資料庫,也可以視情況加入存放的儲存媒體,例如光碟、磁帶、磁卡等。
- 4· 蒐集目的:說明蒐集的目的為何,這部分可參照由法務部所公布的個資蒐集目的和類別。
- 5· 蒐集單位:記錄個資是由哪個部門或人員所蒐集的。
- 6· 處理單位:記錄個資是由哪個部門或人員進行編輯和建檔。
- 7· 利用單位:記錄個資是由哪個部門來使用,包括可能利用的其他第三方單位。
- 8· 資料保護措施:說明針對此項個資的保護作法,例如加密、上鎖、權限控管等。
著手評估個資的影響價值
依據個人資料保護法的定義,只要能夠以直接或間接方式識別到特定個人的資料,就屬於應該要妥善加以保護的個人資料。換句話說,個人資料除了常見的姓名、電話、地址、身分證字號之外,可能涵蓋的內容會有百百種,因此到底有哪些資料應該要優先進行控管,就是一個必須要釐清的問題。
從風險管理的角度來看,對企業最有價值的資料,就是萬一不小心遺失、損毀或外洩時,會對企業造成最多損失且影響最大的資料,這也就是首先要保護的對象,但是損失多寡和影響程度到底要如何來判定呢?