個資保護 資訊安全 個人資料 個資法 隱私 資安

個資保護與隱私維護的基本原則

2013-02-25
隨著個人資料保護法的實施,個資保護已成為政府與企業不得不進行的重要工作之一,但是在立法的精神之中,除了強調個資保護責任,隱私維護更是不可或缺的重要支柱,如果無法維護個人隱私,也就意謂著個資保護一定不夠周全。
在資安的領域之中,若是談到資料的保護,實施起來並不是一件十分困難的事,不過,如果要落實個人隱私維護,就需要補充更多對法令的認識,以及對於個人隱私的認知與尊重,這和單純的資安防護比較起來,有著相當不同的思維與因應作法,也是一項更加多元的挑戰。

近代隱私維護發展的歷史

所謂的隱私,指的是個人能自由地選擇在什麼情況下,向哪些人揭露多少程度的個人資料和行為,主張個人有權利去保護針對個人生活與家庭可能產生的直接侵擾,並且限制與個人有關的資訊被發布。

從歷史發展的角度來看,隱私的概念最早源自古希臘和聖經,在回教可蘭經中也有相關的記載。至於現代第一部個人資料保護法,是在1970年由德國公布,主要目的是因應資訊科技的高度進步和發展,可能會對個人隱私所造成的影響;同年,美國也誕生了第一部有關隱私的法律,但主要是針對保護消費者的信用資訊。而隱私保護最知名的論點,則是來自於小說「1984」裡的老大哥隨時都在看著你(Big brother is watching you),讓人們得以了解個資保護與隱私維護的重要性。

個資的類別與區分原則

依據個人資料保護法的定義,所謂的個資是指可以直接或間接識別到特定個人的資料,這部分與歐盟的個資定義相同,換句話說,只有屬於可識別到個人的資料,才會受到個資法的保護。因此,如果有些資料加以去識別化,或是採取匿名或遮蔽的方式,就不適用於個資法的要求,即可歸屬於非個人資料。

在個資法尚未實施之前,大多數企業對於資料保護的要求,主要都是針對非個人資料,包括像是營運資訊、研發產權、產品與服務資訊等,所採取的方式也比較簡單,只需保護資料本身即可,不需要兼顧所謂的個人隱私要求。只不過,在所謂「可識別至特定個人」這條線之間,仍然存在的許多模糊地帶,例如以網路IP位址為例,到底它是否屬於個資,在不同國家的法律和法庭之間,就有著不同的認定方式。

以歐盟(EU)而言,IP位址是被視為可識別至特定個人的個資,美國聯邦貿易委員會(Federal Trade Commission,FTC)也認為,若IP位址與醫療健康資訊有關,就會被認定為個資之一。但是,在愛爾蘭的法庭卻認為,IP位址並不構成所謂個人資料的要件,因此不被視為是需要保護的個資。

從隱私的角度來看,目前與個人資料有關的隱私類別,可以區分為以下四類。

  1. 1.資訊隱私:包括了醫療資訊、金融資訊、網路使用與社交活動記錄等,主要關注於需建立規則來妥善地管理和個人資料有關的蒐集與處理行為。
  2. 2.身體隱私:與身體有關的隱私包括了所進行的身體檢查、藥物測試、基因測試,也包含了和個人有關的血統、墮胎、收養等資訊,它主要專注在與個人身體有關的各項行為。
  3. 3.通訊隱私:要求保護與個人通訊有關的意圖和內容,包括了傳統信件、電子郵件、電話溝通及其他可用來實現通訊行為的軟硬體設備,像是現今流行的即時通訊App等。
  4. 4.領域隱私:它是和個人環境有關,這些區域包括了個人住宅、工作場所和公共區域等,主張可以用來侵擾他人領域的能力,都應受到適當的限制,例如架設可監控錄影的攝影機、要求出入需要檢查身分證件,以及其他類似的做法等。
企業面臨的個資與隱私風險

為了保障個人隱私和說明個資被蒐集的情況,許多組織都會在其用來蒐集個資的管道中,透過個資保護政策(Policy)或隱私聲明(Notice)來告知使用者,這些隱私政策和聲明的目的,除了可以宣達組織的個資保護責任之外,同時也是為了教育使用者的隱私觀念。

對組織而言,由於隱私所牽涉的範圍很廣,可能包括了個人、法律和商業運作等諸多層面,加上許多的隱私保護要求,也是來自於法律法規、產業協定和商業合約等,除了需要考慮這些外部要求之外,內部的聲音同樣也不能忽視,包括像是保護員工個人資料、提供工作場所的隱私維護、實施資訊系統的監控與記錄等,都是企業在評估個資與隱私風險時,不可遺漏的一環。

為了有效管理個資與隱私所帶來的風險,最簡單的方式是從個資生命週期來著手,以下是在各個階段需要審慎考量的重點。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!