隨著新修訂個人資料保護法的即將通過,以及民眾對於個人資訊和隱私的重視,未來無論是政府機構或是民間企業,只要具有和處理個人資訊有關的業務,勢必就要建立一套有效運作的個人資訊保護制度,而標準將會是最佳的指引參考。
還記得2008年8月,刑事警察局破獲了兩岸駭客和詐騙集團共同聯手,入侵了中華郵政網路銀行,將數十名客戶的存款盜轉走數百萬元,同時也入侵了健保局、教育部和多家電信業者的資料庫,將所得的個人資訊與購物台刷卡資料,共同整合成一個可供搜尋近五千萬筆個人資料庫的事件,讓人害怕的是幾乎從上到下,由政府官員到一般民眾等皆無一倖免。
每天,我們的資料都在政府或民間企業,像是政府各級單位、水力電力公司、戶役政稅務機關、醫院、學校、警察機關、銀行、保險公司、一般企業、零售業、超市、航空公司、旅行社等之中被蒐集、儲存、傳遞和使用,如果個人資訊被不安全地處理而遭到惡意人士的盜用,對個人而言,輕則財物受損,重則造成法律糾紛,個人名譽也將受到不必要的侵害,若洩露個資的單位查證屬實,一旦新修正的個人資料保護法三讀通過,也將面臨鉅額的懲罰性賠償。
個資有價,切莫輕忽
從資訊的生命週期來看,個人資訊的產生、處理、傳遞、儲存、復原、銷毀等過程,都需要有適當的安全管控措施,這部份可以透過管理制度的規範,或是技術性的保護,來防止不當處理個資事件的發生。
因此,組織必須要將個人資訊視為有價值的資產,無論其呈現的形式是什麼(例如紙本、聲音、影像、電子檔案等),都必須評估其可能存在的安全弱點,以及可能面臨的威脅,並且透過風險評鑑的過程,來找出其風險的高低,然後針對無法接受的風險,進行風險處理和後續改善行動。
隨著個資外洩事件不斷發生,目前已有許多政府單位與企業,對於個人資訊保護的問題日漸重視,但是卻往往不知該如何著手,找不到一套可以依循的規範與標準。如今,BS 10012的標準內容,正好可做為組織在建立個人資訊保護機制時的最佳參考,藉由標準所提供的基礎架構(Framework),配合PDCA的管理運作方法,能夠透過建立系統化的個人資訊管理制度,來達到保護個資的目的,更可進一步符合個資法規的要求。
重要的資料保護原則
談到資料保護,英國在1998年即制訂了資料保護法案(Data Protection Act 1998),並且在2000年3月公布實施,要求資料控管者(data controller)對於個人資料的取得、使用、儲存、揭露等,必須遵守法律的規範與要求。
其中,資料保護法案所要求應遵守的8項資料保護原則,非常適合各組織作為制定個人資料保護的參考,內容說明如下:
1. 個人資料不可以非法或不公正方式蒐集、處理。
2. 個人資料應限於以特定目的之方式蒐集、處理。
3. 個人資料應以充分、相關,而非逾越其原本之目的處理。
4. 個人資料應求準確,並在必要時及時更新。
5. 個人資料之保存,不得超過其原定目的之保存期限。
6. 個人資料之處理,應依照當事人之權限及法令規範。
7. 組織應採取適當的資料保護技術和措施,防止個人資料遺失或毀壞。
8. 個人資料不得轉移到歐洲經濟區以外的國家或地區。
綜合以上原則所述,組織在蒐集、處理、使用、儲存個人資料時,必須合乎公平正義原則,並依照當初的目的,採取適當的安全保護措施,以確保個人資料的正確與完整。為了使企業能有效保護個人資料,同時符合法規的要求,BSI英國標準協會在2009年5月31日公布了個人資訊管理系統(Personal Information Management System;PIMS)標準,提供個人資訊管理的基礎架構,以作為組織在落實個人資訊保護時的參考。
BS 10012的基礎架構
BS 10012的全名為「資料保護─個人資訊管理系統之要求(Data protection–Specification for a personal information management system)」,其中BS指的是英國標準,後面則為標準編號,至於系統指的是文件化的管理制度,它是由工業、政府、學術、教育、消費者等各界專家代表所共同發展,因此適用於任何組織和公私領域,讓組織的管理階層可以依循參考,亦能作為有效的個資法規內外部的評鑑標準。
BS 10012內容共有7章,第0~2章為標準介紹、適用範圍與名詞定義之說明,第3~6章則為個人資訊管理制度的架構要求,其主要目標說明如下。
計畫與建立PIMS
本章的目標是要規劃建立個人資訊管理制度,以提供符合資料保護法規要求的方向和實務上的良好做法。因此在一開始,組織必須定義個人資訊管理的範圍和目標,並判斷內部有哪些資料屬於個人資訊,以便制訂適合組織運作的個人資訊管理政策。
此一政策必須由資深管理小組(可能包括董事會成員、執行長、資深工作者和組織合作夥伴)來發布,並負起維護和更新之責,在政策中要清楚地讓組織成員了解個資保護的重要性,以及個資處理的原則,要求必須共同遵守,並且融入組織的文化之中,以達成個資保護的目標。
實施與運作PIMS
本章內容是實施與運作個人資訊管理制度的要求,也是標準中內容最多的一章,其目標包括要確保組織已指派適當的負責人選,以便推動並執行個人資訊管理制度,因此需要明確說明資深管理小組成員的工作角色與職責,並且清楚定義其每天的工作任務。
另外,凡是組織內和個人資訊處理有關的單位或部門,也必須推派適當的代表,因為只有實際處理個資的同仁,才明白個資中的機密性與敏感性,透過各個單位負責代表的協助,才可實際進行個人資訊的風險評鑑,以評估目前組織所擁有及處理個人資訊的風險等級。
本章的重點還包括要求組織應對員工實施教育訓練,並確保個人資訊被公平且合法的處理使用,也就是要求從個人資訊生命週期的一開始到最終的銷毀階段,整個過程中是否遵守適當的處理作業流程,是否尊重個人資料所有人的權力,以及採取適當的資訊安全控制措施。
監督與審查PIMS
本章的內容是要求個人資訊管理制度應實施適當的監控與審查,因此組織必須制定稽核計畫,選擇合適的稽核人員依照政策與管理要求,定期地實施內部稽核,以確認管理制度能夠有效地運作。
除了內部稽核之外,組織還必須定期實施管理階層的審查會議,了解個資處理的過程是否有任何的變動,同時也要審查稽核之後的結果,以及是否曾經發生和個資有關的資安事件,以掌握組織個資處理的現況,並適當修訂現行的個人資訊管理政策內容。
維持與改善PIMS
本章的內容是維持與改進個人資訊管理制度,目標是改進整個制度實施的效率及有效性,因此要求從兩個方向來改善。首先是組織應針對可能違反法規的事件,在事先實施預防的行動,並評估可能造成的問題來決定與實施必要的預防措施;其次則是針對管理階層審查的結果,針對不符合政策與標準要求的事項,進行矯正的行動,以求將個資受到不當處理的風險降至最低。
保護個資,刻不容緩
未來隨著新版個人資料保護法頒布實施之後,對於擁有和處理個人資訊的各行各業來說,最大的改變會是什麼?個人認為是組織必須建立一個新觀念,那就是「個人資訊是有價的」,再也不能像過去一樣被任意的處理和交換,無論是蒐集、使用、儲存都必須要合乎法律規定,如果組織沒有建立有效的個人資訊管理制度,那麼很可能就會不小心觸法而蒙受不必要的損失。
因此,萬一組織仍舊忽視個人資訊的保護,而無法安全妥善地進行處理,根據目前正在修訂中的個資法草案,未來若發生個資外洩事件,當民眾進行受害索賠之時,並不需要負舉證之責。也就是說,洩露個資的單位,必須證明自己無故意或過失責任,才能免於賠償,所以如果沒有文件化的作業流程與記錄,要提出舉證恐怕相當困難,對此管理者請務必要三思才行。