轉自
ITHOME
企業可以參考英國個人資料保護標準BS 10012,從PDCA的循環落實企業的個資保護措施
由於新版個資法打破舊法行業別適用的限制,未來不論企業規模大小、個資數量多寡,都受到新版個資法嚴格規範,加上舉證責任倒置,企業必須負起證明企業本身 無過失的舉證責任。在距離新版個資法公告施行大約還有一年時間,企業可以參考英國在2009年6月頒布的英國個人資料保護標準BS 10012,從PDCA的循環落實企業的個資保護措施。
企業只剩下1年因應新版個資法(1)
最快在2011年中,新版《個人資料保護法》就可望施行,所有的公務與非公務機關受到《個人資料保護法》規範與衝擊,此時因應正是時候
企業只剩下1年因應新版個資法(2)
只要是主管機關對於企業個資使用狀況有疑慮,都可以派員進入公司查核,這也意味著,未來在個資使用狀況的查察上,多數企業都會面臨有2個以上有權查核的機關到場稽查
BS 10012個資保護標準的10大實務作法(1)
目前英國BSI推出的BS 10012英國個資保護標準的作法,符合臺灣新版個資法精神,企業可藉此作為因應新版個資法的最佳實務
BS 10012個資保護標準的10大實務作法(2)
《個人資料保護法》通過後,企業也必須回頭審視手邊擁有的個人資料,是否是當事人提供或間接蒐集而來,而這些個資使用目的是否已有變更,這些個資狀態都攸關企業未來在使用這些個資時,是否必須再取得當事人同意
BS 10012個資保護標準的10大實務作法(3)
企業參考個資類別和風險高低,選擇合適的個資防護措施之後,為了能夠保存每一筆個資異動的軌跡,重要資安設備和資安事件的Log檔(登錄檔)都必須留存
企業只剩下1年因應新版個資法
法務部正在緊鑼密鼓研擬新版《個人資料保護法施行細則》,法務部法律事務司科長黃荷婷表示,預計到8月底,各部會機關可以完成對施行細則的修改建議,接下 來的9月、10月為一期,進行第一階段會議;11月、12月為一期,進行第二階段會議,預計在2011年,可以完成第三階段公聽會。屆時,距離施行細則公 布的時間就更接近了。
看著政府公告施行細則的時程一天天接近,對於企業而言,這也意味著,企業面對新版個資法衝擊的日子也一天天逼近。
法務部法律事務司科長黃荷婷表示,距離新版個資法公告施行還有1年時間,相關企業應趁此做好因應措施,以免新法上路後而有違法之虞。
黃荷婷預估:「依照目前的時程安排,行政院最晚在1年或1年半後,公布完整施行細則後,新版個資法也將接著公告施行日期。」她認為,多數企業不能再以為新 版個資法距離自己還很遙遠,如果要真正因應新版個資法對企業造成的衝擊,並有充裕時間將這一些衝擊降到最低,現在正是開始著手因應新版個資法的時候。
所有機關企業都受新版《個人資料保護法》規範
舊版《電腦處理個人資料保護法》的規定,主要是規範公務機關,以及包括徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八大行業以及其他指定適用的行業,在處理經電腦處理的個人資料時,受到該法的規範;至於,其他的非公務機關,都不受該法限制。
但新版《個人資料保護法》刪除行業別的適用限制,也就是說,每一個公務機關、非公務機關和接受委託的機關企業以及個人等,對於所擁有的個人資料的蒐集、處理和利用等,都必須受《個人資料保護法》的規範。
勤業眾信(Deloitte)會計師事務所副總經理萬幼筠指出,這一波新法施行適用的影響,對於公務機關影響較小,因為多數公務機關都是依法行政,若因此 造成個資外洩或不當使用,可以直接循國賠途徑求償,若是公務員瀆職造成當事人個資外洩或不當使用,政府也可以向該公務員求償以填補國賠的金額。
但是,「新法施行後,受到衝擊最大的就是,先前沒有納入舊版《電腦處理個人資料保護法》的所有非公務機關,包括自然人、法人或其他團體等。」萬幼筠說,非 公務機關公司大小和營運規模差異甚大,擁有的個人資料不一樣,連可能遺失個人資料甚至因此造成當事人損失的方式也不一樣,一旦成為新版《個人資料保護法》 規範的對象,只要擁有1筆以上的個人資料,就必須遵照該法蒐集、處理、利用、傳輸甚至刪除的規範,否則,還有民、刑事的懲罰,對企業影響層面甚巨。
黃荷婷指出,新法通過後,公部門要制訂各機關個人資料保護政策,明確保護個人資料自主決定權,以及保護個人資料合理流通,並且制訂各目的事業主管機關,所 發布事業的個人資料保護標準指針(Guidelines )。對於私部門而言,則要依據政府公布的施行細則或個資保護指南等規範,制訂個人資料保護政策及遵守相關法令要求。
個資使用或目的變更,必須告知當事人
國巨律師事務所合夥律師朱瑞陽表示,以前企業對於個人資料的使用沒有任何強制規範,只有舊版《電腦處理個人資料保護法》規範經過電腦處理過的個人資料的處 理方式,甚至,擁有個人資料的公務機關和非公務機關,只要不販賣所擁有的個資、企圖營利,即使是非法擁有個人資料也沒有罪。
但是,最快在2011年新版《個人資料保護法》公布施行後,所有的個人資料,不論其存放的媒介與形式為何,只要是能夠辨別個人身分的個人資料,例如姓名加 上手機號碼,或者是姓名加上身分證字號等2個以上,能夠辨識個人身分的個人資料組合,企業對相關個資的使用,就必須事先告知並獲得當事人的書面同意。
朱瑞陽表示,公務機關和非公務機關直接向當事人蒐集個人資料,或者是透過間接蒐集資料的方式取得當事人的資料時,都必須依照法條規定,告知當事人相關蒐集 目的、機關企業名稱及個資使用方式等。他說,但若是間接蒐集個資,除了法律規定和公務執行等規定外,新聞媒體則可以基於新聞報導的公益目的去蒐集個人資 料。
新版個資法當中也明文規定,公務機關或非公務機關因為違反規定,導致當事人個人資料外洩或遭不當使用,機關企業都應該在查明後,以適當方式通知當事人。也就是說,機關企業未來若有個資外洩相關事宜,都必須主動告知當事人。
此外, 新版《個人資料保護法》擴大保護客體,納入人工紙本資料,萬幼筠說,新法的規範則解決以往個資外洩,只要不及於電腦處理,及不適用舊版《電腦處理個人資料保護法》甚至無罪的怪現象。
根據北檢檢察官統計,依照《電腦處理個人資料保護法》起訴成功率只有15%,許多詐騙事件的犯罪首腦,因為事先銷毀電腦內的資料,只剩下紙本資料,罪責最 後只剩下不當得利、妨害秘密罪等刑責較輕的罪。等到新法施行適用後,不論電子或紙本的個資外洩,都受到該法規範,就不會出現上述詐騙案件成功起訴的機率偏 低的怪現象。
個資使用必須獲得書面同意
勤業眾信副總經理萬幼筠指出,企業對於個人資料的保存責任是永久的,當企業想要永久保存個資,所需承擔個資外洩的風險就越高。
所有公務或非公務機關對當事人個人資料的蒐集、處理或利用,按照新法規定,都必須獲得當事人書面同意。「當事人書面同意是非常嚴謹的同意標準,」萬幼筠說,主要是讓當事人有充裕的時間,可以審慎評估是否同意個人資料被使用,這同樣也是一種人權保障的作為。
黃荷婷表示,嚴謹的書面同意對企業而言,當事人同意難度大為提升,另外也可能透過契約或類似契約的方式,作為另外一種書面同意的意思表達。另外,如果可以符合電子簽章法的法律效力,也同樣符合書面同意的規範。
除了蒐集個資前,必須徵得當事人的書面同意外,若原本蒐集個資的目的變更,按照新法規定,也必須徵得當事人的同意。例如,企業原先蒐集個資目的是A,後來要變更為B目的時,機關企業就必須告知當事人並徵得當事人的書面同意,才能在變更蒐集目的後,繼續使用該個資。
在新法中也規定,機關企業對蒐集、處理或利用的個人資料,只要經過當事人書面同意,非公務機關可以利用個人資料進行相關的行銷目的,但只要當事人表示拒絕 接受行銷時,企業就應該立即停止利用當事人的個人資料行銷。《個人資料保護法》法條中也明文規定,非公務機關進行首次行銷時,也應該供當事人表示拒絕接受 行銷的方式,企業也應該支付當事人拒絕行銷所需支付的費用。
新增敏感性個資類別
新版《個人資料保護法》除了舊版就有的一般個人資料,指自然人的姓名、出生年月日、國民身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動等,也將護照號碼列為一般個人資料項目中,更新增敏感性個資的資料類別。
敏感性個資包括:醫療、基因、性生活、健康檢查、犯罪前科等5項資料。這5項敏感性個資,除了法律明文規定,或者基於公務執行、學術研究且無法識別個人身分等前提下,可以做相關的蒐集、處理或利用外,即使是當事人同意,一般的公務或非公務機關都不能蒐集、處理或利用。
萬幼筠也說,以往有些企業會要求員工提供良民證,證明沒有犯罪記錄,或者是,掌握員工健檢報告、了解員工健康狀況等情況,基於新版《個人資料保護法》的規範,未來所有的機關企業,除基於法律規範的前提下,都不得跟客戶、員工和第三者合作夥伴蒐集上述的敏感性個資。
主管機關和地方政府皆有權查核企業個資使用狀態
新版個資法規定,包括中央目的事業主管機關或者是直轄市、縣市政府,為了確定企業是否有個資外洩或不當使用個資的情況下,都可以率同資訊、電信或法律等專業人士,都可以攜帶職務證明文件,進入企業作檢查的規定表達擔心之意。
電子商務業者Payeasy公共事務推廣部協理陳中興表示,新版《個人資料保護法》規定,只要是主管機關對於企業個資使用狀況有疑慮,都可以派員進入公司 查核,這也意味著,未來在個資使用狀況的查察上,多數企業都會面臨有2個以上有權查核的機關到場稽查。他擔心,「這種公公婆婆主管機關都有權查核企業的個 資使用狀況,將可能對機關企業的正常營運造成影響。」
萬幼筠則說,根據該法規定,包括中央目的事業主管機關或地方政府都有權派員對企業進行個資安全的檢查,這也意味著,政府將資料保護查察措施的權力,擴及到 非司法警察機構。萬幼筠提醒,根據地方自治的精神,民選首長必須對選民負責,如果出現民選首長為了為民眾謀福利,積極行使地方政府對企業查察資料保護作為 的權力,對於企業營運將造成一定程度的衝擊。
黃荷婷表示,以行政機關而言,類似的個資檢查不會出現主管機關或地方政府爭相主動請纓對企業進行個資檢查,最終會推派單一機關行使資料保護措施的權力。根 據個資法第22~26條,將規定行政機關規定執行檢查、扣留或複製的權限,期待能發揮執行效率;對於接受委任或委託執行事務而知道他人資訊的執行者,也都 應該肩負起個資保密的責任。
建立團體訴訟機制
從資料的蒐集、處理或利用、傳遞到刪除的生命周期來看,萬幼筠坦言,目前新版《個人資料保護法》中,對於資料刪除的部分提及不多,仍需要透過施行細則來補充。
所有的資料保存都有生命周期,而企業對於個資的擁有和使用,在新法中雖然沒有明確規定,依照法條規定,損害賠償期限自損害發生起5年內,或得知受損害的2 年內,受損害的當事人一定要進行求償,否則,將喪失求償權力。企業對於個人資料的保存責任雖然是永久的,但若針對法律上規範企業保存個資的年限訂於「受損 害事件發生的5年內」,萬幼筠指出,這也意味著,企業若要永久保存的個人資料,要承擔個資外洩的風險越高。
新法為了促進民眾參與,新增條文中,設立了「團體訴訟」的機制。根據立法意旨說明,為了便利被害民眾能行使《個人資料保護法》相關法律求償規定,也鼓勵民間公益團體能參與個人資料的保護,便增訂團體訴訟的相關規定,發揮民間團體的力量,做到個人資料保護的工作。
有些IT主管便感憂心,政府為了便民而開團體訴訟的大門,容易造成訟棍和濫訟的情形,但黃荷婷認為,能夠承攬團體訴訟的公益團體的門檻規定頗高,加上還有主管機關的把關,濫訟情形不容易發生。
加重刑事責任並提高民事損害賠償總額
現行《電腦處理個人資料保護法》在刑事責任上,只有蒐集個資並意圖營利者,會處2年以下的有期徒刑;妨害個人資料正確性者,則處3年以下有期徒刑。至於民事賠償,每一人每一案件賠償金額2萬元~10萬元,但最高賠償總額上限為2千萬元。
但朱瑞陽指出,新版《個人資料保護法》民、刑事的刑責,都較舊法大幅提高。不論是公務或非公務機關,不當蒐集、處理或利用個資時,如非有意圖營利者,將判 處2年以下有期徒刑,若有意圖營利或妨害個人資料正確性,都將處5年以下有期徒刑。至於民事求償上,每一個人每一案件的賠償為500元~2萬元,比舊法單 一案件賠償金額還低;但對民意賠償總額上限則提高為2億元。
新版《個人資料保護法》除了加重刑事與民事責任外,朱瑞陽說,對於非公務機關一旦有違法使用個資事實確認,其代表人和管理人除非能證明已經善盡防止的義務外,和公司一樣,都受到每次2萬元~50萬元行政罰鍰的處分。
企業只剩下1年因應時間
從1995年舊版《電腦處理個人資料保護法》暴露出種種不合時宜的法條規定後,新版《個人資料保護法》終於在今年4月27日在立法院三讀過關,並於5月26日由總統公布。但是,朱瑞陽說,《個人資料保護法施行細則》的制訂,才真正是挑戰的開始。
立法院在《個人資料保護法》三讀的附帶決議案中有規定,對於該法中包括「公共利益」、「一般可得之資料來源」等不確定的法律概念,必須邀集民間團體、專家學者召開公聽會進行討論、並納入相關施行細則中。
黃荷婷表示,目前施行細則修法上共識在於,不確定法律概念的具體化,可以透過建立次標準和定義性規定的方式進行;但若是不確定法律概念的內容,以個人資料保護與新聞自由或言論自由之界線為例,就得透過建立公共利益之概念的次標準,以及讓個案判斷回歸司法審查。
若是其他包括識別、刪除、銷燬、聯絡方式等技術性概念,或者是病歷、醫療、基因、性生活、健康檢查、犯罪前科、為單純個人或家庭活動目的等定義性概念,以 及書面同意、國際傳輸、行政檢查、團體訴訟等程序性概念等,法務部在施行細則制定時,都會提供程度性或定義性的明確規範,或者是建立標準化作業流程形塑相 關標準。
明沂律師事務所律師簡榮宗表示,新版個資法在制定時,為了強化企業或公務機關落實個資保護,而有舉證責任倒置的作法。他說,現行《電腦處理個人資料保護 法》採用一般民事賠償作法,提告的受害者必須證明,被告企業有外洩提告者個資的確切行為和證據,才能順利提告,要求企業支付相關的損害賠償責任。
但在新版個資法的規定中,簡榮宗指出,法務部為了保護原告,在個資法的求償規定,企業則必須反過來證明自己並無過失。這樣的法律設計,讓企業承擔更高的個資保護責任。但他說,「舉證之所在、敗訴之所在」,許多企業因為缺乏證據保存的概念,要證明企業無過失的難度更高。
根據新版《個人資料保護法》第55、56條規定,本法施行細則,由法務部定之;本法施行日期,由行政院定之。黃荷婷說,按照行政院期望的進度,希望最遲在 今年底前,法務部能完成施行細則的制訂,行政院最快可以在半年後,大約2011年年中,最遲則不拖過2011年年底,能順利公布《個人資料保護法》的施行 適用。
也因為《個人資料保護法》過關後,企業必須重新全盤審視手邊所擁有的個人資料到底有哪些,必須有個資清冊外,也必須擬定如何保護企業手邊的個人資料的保護 策略。根據法務部的規範,最遲1年到1年半後,行政院就會公佈實施《個人資料保護法》。那也意味著,多數企業,只剩下1年左右的時間,有時間去因應《個人 資料保護法》過關後對企業造成的挑戰與衝擊。
看大圖
BS 10012個資保護標準的10大實務作法
臺灣新版《個人資料保護法》制定都參考APEC和OECD的隱私權綱領,而英國BSI在2009年6月推出的英國個人資料保護標準BS 10012,也在同樣的參考基礎上,制定一套保護個資框架與實務作法。
勤業眾信副總經理萬幼筠以及臺灣BSI副總經理蒲樹盛都認為,BS 10012透過一套完整的P(規畫)、D(執行)、C(稽核)和A(改善)的循環流程,建立一套完善個資保護的框架和最佳實務(Best Practice),不論新版個資法施行細則是否已經完成制定,同樣具有參考價值。
目前許多政府部門,為了讓個資保護的作法能夠從點擴及線與面,也接受BS 10012相關的教育訓練,作為各政府機關執行個資保護作為時的重要參考框架。
正確心態是個資保護的第一要務
新版個資法的刑責普遍加重,公司主管也負有刑責,許多企業在考量因應個資法的同時,第一考慮的點就是「如何避免被告」,而且相關的資安或個資保護措施,也都奠基在不被告或者是被告知後,可以順利脫身的基礎上而來。
但是,蒲樹盛認為,一旦企業心態有所偏頗,個資保護就容易淪為虛應故事、炒短線的作法,便無法從點擴及到線和面。他說:「這樣的個資保護作法,遲早會因為不夠深入或面向不夠廣,而造成個資外洩的疏漏。」
為什麼個資保護第一要務就是匡正心態,蒲樹盛以「密件副本」的概念做說明。他指出,許多有個資保護概念的人在寄送電子郵件時,就會習慣性把普遍多數的收件 人名單列入密件副本中,避免電子郵件被收集;但這種密件副本的觀念卻不一定深入到每個電子郵件收發者的身上。這也如同企業對個資保護的概念,如果不能深入 到每一個同仁的心理,無意間的小動作,例如一時疏忽,把所有收件人都列在收件者或者副本收件者的欄位中,類似因為無意動作導致的資料外洩,也可能造成很大 的客戶資料外洩後遺症。
臺灣BSI副總經理蒲樹盛強調,企業做個資保護不應該從避免被告的角度出發,唯有以同理心保護客戶個資,才能做到線和面的個資保護。
蒲樹盛強調,客戶信任企業而將寶貴的個人資料交付企業使用,企業理應負起完善的保護之責。但是,目前普遍現象都是,企業多從「如何不被告」或者是「可以證明已經做好相關個資防護措施」的角度所做的個資防護措施。
這種目的性的作為,通常是哪裡有洞補哪裡,在無法深入企業流程進行個資盤點,無法了解企業重要的個資有哪些,會經過哪些部門與作業流程,一個有意或無意的 疏失,都可能造成嚴重個資外洩。就像是房屋捉漏一樣,蒲樹盛說,若不能找到漏水的源頭,只是修補好漏水處,永遠會有再次漏水的可能性。
「企業是不是真的站在保護客戶個資的立場來做個資保護措施,深入的程度一定和只是避免被告有極大的差異。」蒲樹盛說道。也因此,他建議臺灣企業在進行個資保護時,一定要有正確的心態,如此一來,相關個資保護的作法、方向才會對,才不至於造成方向偏差。
不過,蒲樹盛也觀察到,現在許多企業還沒進行相關的個資保護措施,有時候是高階主管還沒有意識到新版個資法對企業影響的深入層面。
目前常見的現象可能是,單就法律面而言,新版個資法對個資保護的精神和舊版類似,所以法務部門不認為對企業影響層面會比舊法更深入,所以就沒有跟公司高層 提醒新版個資法的影響和嚴重性。就IT部門而言,IT部門能掌控的多為電子資料檔案,如果有導入相關的資安政策,就已經連帶做好相關的個資保護,不是認為 沒有必要再提醒新版個資法對企業的衝擊,就是認為,IT部門沒有能力承擔個資保護之責,反而直接或間接地規避類似的提醒責任。
對於這些現象,蒲樹盛認為,唯有多從正面積極的角度出發,鼓勵企業內各部門重視個資保護的重要性與價值,才可能完善個資保護的作法。「畢竟,個資保護不是單一部門的責任,而是全公司每個同仁的共通責任。」他說。
在ISO 27001基礎加上BS 10012作法
萬幼筠表示,勤業眾信花2年多的時間,歸納出一套企業個資保護的方法論。從協助客戶逐步完善個資保護的實務經驗,加上參考ISO 27001資安認證和BS 10012(英國個人資料保護標準)的資訊安全框架和個資保護的實務作法,以及從訴訟原則上的「沒有故意」、「沒有過失」、「善盡善良管理人之責」和「沒 有不可抗力因素」的角度,發展出這套方法論的框架。但他強調,目前這一套方法論還沒有對應施行細則,仍有一些細節之處需要調整,但整體企業個資保護方向仍 是正確的。
根據勤業眾信過去推動ISO 27001資訊安全認證的經驗,個人資料只是資訊資產的一部份而已,若單純以ISO 27001的資安管理框架來看,萬幼筠認為,距離企業要做好個資保護,仍有一段差距。因此,為了完善企業個資保護的實務作法,勤業眾信參考英國國家標準局 (BSI)在2009年6月推出的BS 10012標準,參考其個資保護管理實務上PDCA的作法,完善勤業眾信個資保護的方法論。
BS 10012非常侷限在個人資料的保護,強調深度確保個人資料安全的實務作法。蒲樹盛表示,ISO 27001資安認證所囊括的範圍,除了個人資料以外,還包含營業秘密、財務資訊等其他機密資料,廣度較個資保護為廣,但對於專門個資保護的深度較淺。蒲樹 盛說:「ISO 27001是資安的基本防護架構,而BS 10012則針對個人資料提供深度保護,兩者相輔相成。」他認為,企業也可趁此時利用BS 10012的個資保護框架,重新檢查每一個個資保護環節是否符合個資法的規範。
萬幼筠說,BS 10012是一套個資保護框架,也是企業進行個資保護管理PDCA實務作法的國際標準,不僅符合臺灣《個人資料保護法》的立法精神,更是目前少數提供個資 保護實務作法的標準。萬幼筠認為,對於有真正落實、深化ISO 27001資安認證的企業,因應新版《個人資料保護法》的來臨,可以新增加BS 10012的實務作法,藉此完善企業對個人資料的保護措施。
作法 1 形成內部共識、制訂個資保護政策
《個人資料保護法》過關後,將直接衝擊許多企業內部現有的作業流程,企業是否已經正視到該法一旦實施後,將對企業造成實質衝擊,而內部如何因應這樣的衝擊是否有共識,才是企業是否已經做好新版個資法應對的證明。
萬幼筠表示,新版《個人資料保護法》中的「可歸責性」(Accountability)是一個重要的立法精神,由於未來新法加重企業刑事責任和提高民事賠 償上限,企業面臨個資外洩或不當使用的風險比以往高出許多,個人資料的保護就不能由兼職單位或人員負責控管,制訂個資保護政策、成立管控個資專責單位,則 是企業正視新版個資法衝擊的第一步。
為了證明企業的確重視個資保護,萬幼筠認為,這樣的個資控管專責組織,也應該清楚明列在公司組織架構表和工作執掌說明內容上,以示慎重。他也說,目前電子 化檔案可以由IT部門作為電子化個資的中控單位,但紙本個資則沒有任何單位可以作為個資控管單位。因此,公司個資管控專責單位的組織架構和工作說明,更顯 得重要。
蒲樹盛對此表示同意,他認為,企業內對《個人資料保護法》因應如果有共識,第一件事情就是制定個資保護的政策,為了符合BS 10012規範,就應該攤開組織表,審視每個部門的功能執掌,並設立一個專責的個資管理單位,稱之為「Data Controller」,負責個資的蒐集、使用、傳遞、銷毀和保存。蒲樹盛表示,個資發送給誰、又被轉送給誰,中間所有傳遞的軌跡流程,都應該有專責的人 或單位負責。
作法 2 進行個人資料盤點、確定範圍
《個人資料保護法》通過後,企業也必須回頭審視手邊擁有的個人資料,是否是當事人提供或間接蒐集而來,而這些個資使用目的是否已有變更,這些個資狀態都攸關企業未來在使用這些個資時,是否必須再取得當事人同意。
萬幼筠指出,機關企業應該從業務流程的資訊流,去盤點企業目前所擁有的個資種類、數量和形式等,企業必須盤點到底有哪些個人資料,而這些個資來源是直接或 者是間接蒐集而來的。要做個資盤點,蒲樹盛說,從資料的生命周期來看個資盤點是最適當的方式之一,從規畫、教育訓練、個資盤點並產生類別清單、個資流向、 個資歷程等,就可以清楚掌握每一個資料的來龍去脈。
舉例而言,若企業內有一個會員申請的資料,除了要從資料的生命周期確定這份會員資料中,哪些是重要的、企業需保護的個資?這份會員申請單會流經哪些部門? 有哪些部門或同仁會使用這份個資?在使用的過程中,是否允許其他人複製使用?這份個資最終會以何種形式儲存在哪個部門或人員手中?而最後的資料銷毀流程, 是誰負責?又是以何種型態處理呢?
目前越來越多的資料是儲存在各種應用系統中,萬幼筠以金融業為例,一間金控銀行有2千臺伺服器,2百個不同資料庫,每個資料庫有超過20個以上的資料表。 若進一步分析每個資料表中「ID」欄位的意義,到底指的是個人身分證字號,還是使用者登入帳號,這些都必須看到程式碼才可能知道。
萬幼筠說,對於企業而言,這些個人資料盤點的流程,是最花時間也最需要人力的關卡。許多企業都在尋找自動化個資盤點的工具,但目前而言,仍須以半人工查驗 的方式,才能盤點出企業內的個人資料有哪些資料類型和種類。即使是因應無店面零售業提早在今年7月1日就優先適用現行電腦處理個人資料保護法的博客來網路 書店,到現在為止,個資盤點的流程仍舊在持續進行中。
除了盤點電子檔的個人資料外,萬幼筠提醒,「除了要盤點電子化的個人資料外,企業還必須盤點紙本的資料。」若民眾到銀行開戶,會填寫很多書面申請表,銀行 會掃描轉存成影像檔、PDF檔或其他電子化格式存檔,但這些紙本資料因為都有當事人的詳細個人資料,因此企業對紙本個人資料進行各種個資處理、利用、儲存 甚至刪除等,都不可以忽略紙本個資這一個環節。
蒲樹盛也同意,因應新版個資法規定,管理上就必須意識到有紙本個資的管理,但因為電子檔形式的資料庫儲存個資量大,相關的管制措施就應該更為嚴格、謹慎才是。
作法 3 進行隱私權衝擊分析
隱私權衝擊分析(Privacy Impact Assessment,簡稱PIA)主要是為了點出,各種系統在開發過程中,可能觸發的個資和隱私權議題。一般而言,為了讓隱私權衝擊分析更有效率,這會 是日常流程的一部份,而透過隱私權衝擊分析,企業可以確保一個新系統在開發的過程中,都能符合各種法規遵循、公司治理、客戶和商業隱私保護的需求。
舉例而言,如果銀行要作隱私權衝擊分析,就必須先看過所有業務流程,然後挑選內含個人資料的資訊流,例如,信用卡、財富管理、客戶服務等有個資的應用系統,再使用分析方法篩選出具有可識別個人身分的系統作分析評估。
作法 4 分析業務活動資料熱點和關鍵環境
勤業眾信有一套BIF(Business Information Framework)方法論,萬幼筠表示,這個就是從業務流程去看個人資料的資訊流向,並針對各種應用系統作分析,確認組織內部所儲存的客人資料和儲存位 置,也可以進一步了解目前企業控管程度和法規遵循的程度。
例如,網路購物業者的客戶資料會流經第三方物流業者,公司內部則會經過訂購客服系統、財務系統、出貨系統和銷貨系統,若在系統面,則可能會流經CRM系 統、ERP系統、資料庫、資料倉儲系統等,最後則會產出一張進出貨和庫存報表、客戶配送資料報表。萬幼筠說,透過這樣的資訊流,可以清楚掌握每一個部門和 系統甚至儲存設備上,留有哪些個人資料,也可以進一步分析是否合乎新版《個人資料保護法》對個人資料使用的規範。
結合BS 10012的個資保護方法論,中小型企業也適用 |
勤業眾信因應新版《個人資料保護法》過關,推出一套結合實務經驗和BS 10012標準推出的個人資料保護方法論,該公司副總經理萬幼筠表示,這套方法論不只是適用於較具規模的大型企業,中、小企業只要在進行個資盤點和隱私權 衝擊分析時,能清楚界定個資範圍有多大,就同樣適用這個方法論。
小型企業因為範圍小、人員少,業務較單純,在做個資盤點和隱私權衝擊分析時,只要能夠清楚界定該企業內應該保護的個資範圍,問題反而單純。
萬幼筠就曾經針對一些本土、小型的物流業者,試用此一方法論,因為實施範圍很容易界定,個資盤點速度快,很多時候,只要把作法、誰做、做什麼事先表定清楚,執行力甚至比大公司還好。
小公司因為人少,往往要一人身兼數職,在本分工作時間以外,才有空做資料建檔、轉換檔的工作,執行進度會稍微慢一點。萬幼筠說,在該有的控管點界定後,等到人員上手後,只有後期要通知客戶、做記錄會比較麻煩外,其他的問題都不大。
不過中型企業問題就稍微複雜一點,雖然略有大公司規模、卻是小公司的運作精神,萬幼筠形容,這樣的中型企業「風險是高級的,但能力確是初級的。」同樣在界定個資範圍後,他說,中型企業因為人數規模稍多,至少能做到有1∼2名專職人員,負責個人資料保護的任務。
至於使用這套個資保護方法論,萬幼筠表示,如果個資的範圍是顧問定的,大概要花7∼9個月去做,如果範圍是全公司的,執行時間大約1年,若是小公司,大約 半年就可以完成這樣的個資保護方法論的作為。從萬幼筠的實務經驗來看,不論公司規模大小,該方法論都沒有不適用的問題。 |
作法 5 釐清個資權責和所有權
從個資盤點到隱私權衝擊分析,到掌握個資資訊流在每一個應用系統和儲存空間的個資流向後,接下來就是要釐清個資管理的責任,萬幼筠認為,RACI矩陣模型是一個很適合用來釐清個資所有權的工具。
RACI矩陣的R是Responsibility表誰來負責、解決問題之意,A是Accountability表誰來承擔、批准之意,C是Consultation表誰來諮詢、提供意見之意,I是Informed表誰被告知之意。
萬幼筠表示,在這個RACI模型中,左側可以記錄各種個人資料類型,上方則記錄所有的個資資訊流管控者或窗口,在相對應的方格中,填入R、A、C、I,辨 別每一種個資類型和負責人的對應關係。他也說,如果,系統使用者端的使用者行為難以區別時,則可以透過企業內部職能衝突風險管理來解決。
作法 6 評估個資存放系統的風險是否獲得控管
個人資料保護除了要考慮資訊生命周期的變化,萬幼筠說,資料生命周期和組織內部環境高度相關,企業要結合營運狀況和資訊技術,為個人資料提供一個控管架構。
這個控管架構用來確認企業組織對這些存放個資資訊設備所採用的安控措施,是否做到適當的風險控管。如果有風險控管不當的項目,就可以進一步修改或調整。
作法 7 部署合適個資保護與監控的工具
在資料處理的流程中,IT和負責個資管控的主管必須選擇合適的個資保護和監控工具。萬幼筠認為,企業在解讀、評估《個人資料保護法》對企業造成的衝擊與挑 戰時,企業主應該正視「企業對個人資料保護」的重要性,而法條對於擁有個資企業的規範上,他建議,企業應該先從架構一個「企業對個人資料保護概念框架」著 手。
所謂的企業對個資保護概念框架,是從機關組織是否設定隱私保護組織、政策、規範的治理面開始,逐步延伸到掌控資料處理流程,並對應部署合適的管控措施,對 於所有的個資資訊流進行保護,並執行相關的監控措施和進行相關的分析報告。這個完整的過程,就是機關組織在面對個資保護時,從機關組織角度,一直到實際監 控作為所架構出來的個資保護概念框架。
萬幼筠特別提醒IT部門主管,不能只聽信廠商片面說法,IT主管必須非常清楚,沒有一個防護措施可以做到「以一擋百」,每一個防護措施都有其保護對策的上限,因此,企業評估個資外洩防護措施時,切忌抱持著只想找到一個萬靈丹來治百病的心態。
蒲樹盛認為,企業心態若是希望用工具解決個資保護的問題,終究只能保護到點的個資,線和面的個資保護就可能因為沒想到、疏忽,而未能做到善良保管人之責。
作法 8 記錄與保存個資資訊流向和軌跡
企業參考個資類別和風險高低,選擇合適的個資防護措施之後,為了能夠保存每一筆個資異動的軌跡,重要資安設備和資安事件的Log檔(登錄檔)都必須留存。 萬幼筠說,所謂的Log保留不只是保存數位化Log而已,而是中間很多的記錄軌跡都要能夠保留下來,重點在於要能夠「還原」事件原本的面貌。
還原事件原貌就不只是單純收集Log檔而已,連相關資安設備的時間,都必須事先校準過,這樣才有辦法還原事件的原貌。萬幼筠說,日前就有某客戶網站遭到外 部駭客入侵,企業為了提告,將收集資安設備的Log作為法院的呈堂證供,但此時就發生資安設備時間沒有校準,防火牆Log時間早於路由器Log時間,因為 時間差導致這個Log記錄反而不具有證據力。
作法 9 重新審視委外合約以符合個資法規定
個人資料的資料來源除了來自外部客戶、內部員工還有第三方合作或委外廠商。萬幼筠指出,委外廠商是許多企業在個資防護上,最脆弱的一個環節。因為多數著手進行個資保護的企業,保護的範圍通常不及於合作的委外廠商。
例如,某客戶網站被當成駭客攻擊跳板,按照Log記錄還原事件發生的來龍去脈時,追溯到某ISP業者後就無法繼續追溯下去了。因為,該ISP業者聽到企業 主機被當成跳板後,就直接將該主機系統重灌,原本所有的電子化證據和Log檔都沒有保存,致使該客戶追查動作追到ISP業者後,便宣告中斷。
上述的案件並非例外,萬幼筠提醒,隨著新法規定,受委託單位視同委託者,在法律上,委外單位和委託者負有相同的個資保護責任和義務,如果客戶提告,企業提 供相關的證據追查個資外洩的起迄點,如果追查途中,因為委外單位沒做好相關的個資防護以及追蹤記錄保存,導致企業無法完成個資外洩的追查時,委外廠商和企 業需負起連帶賠償責任。
因此,他建議,從現在起的1年內,機關企業應該逐次重新審視委外合約內容,為了確保客戶個資的保護,企業除了和委外廠商增訂保密和賠償條約外,未來新成立 的委外合約,都必須符合《個人資料保護法》對個資保護的要求,對於舊有、尚未到期的委外合約,若無法重新更約,也應該另外做避險和風險管控的手段,以降低 企業必須連帶承擔委外廠商個資外洩的風險。
這種狀況很容易發生在電子商務業者委託物流業者配送貨物,若個資外洩是物流業者造成的,受委託者視同委託者,該物流業者造成的個資外洩,電子商務業者則必須負起連帶責任。
作法 10 檢視企業的個資防護訴訟策略
萬幼筠說:「個資外洩基本上是一種企業對當事人的侵權行為,」而所有的犯罪在追究責任時,檢察官主要的任務就是追查犯罪動機、掌握犯罪工具,以及確認犯罪 事實。所以,企業在評估《個人資料保護法》施行後的各種影響層面時,對於企業應該盡哪些義務、負擔哪些責任,尤其受損害的當事人提告之後,上法院訴訟時, 就可以從「有無故意」、「有無過失」、「有無善盡善良管理人責任」以及「有無不可抗力之因素」來看相關的衝擊與挑戰。
因為,檢察官在偵察犯罪的第一件事情就是察看犯罪動機,也就是說,企業對於擁有的個資應該善盡保護之責,如果因為「該作為而不作為」導致個資外洩,企業就 有故意不作為的嫌疑。一旦當事人對企業提告,企業因故意不作為導致當事人個資外洩,企業就必須負擔起相關的賠償責任。萬幼筠說,像是企業設立具有實權的專 責機構和人員,來負責相關的個資保護,制訂並落實相關保護政策與流程規範等,都是企業是否有故意不作為的證明之一。
除了故意與否,「企業應該做而沒有做到完善,導致當事人個資外洩,企業就有過失之虞。」萬幼筠說道。這通常牽涉到比較多技術層面的問題,當確認應該有的個 資保護組織、標的後,就進入如何進行實質保護的階段。萬幼筠指出,從業務狀況看資訊流流向時,企業就應該針對每一個資訊流流向可能的資料外洩風險,提供相 對應的保護措施。
「關於企業個資防護作為是否有過失,通常是上了法庭之後,請專家證人作證後,才能向法官證明個資外洩當時的個資防護作為,是否已經做到當時技術所能及的地 步。」他說,如果企業能夠證明沒有過失,或者是能夠證明,企業盡可能完善的個資保護是因為碰上不可抗力的因素,例如,零時差攻擊(Zero Day Attack)導致個資外洩,法官在審判時,通常會參酌企業表現,減輕責罰。
萬幼筠強調,「不論是故意、過失,或者是不可抗力因素,當事人一旦提告,企業都必須能夠負起完整舉證的責任,」而這些舉證,除了保存完整的Log檔,時間 必須一致、也必須能從這些Log檔還原事件原貌。他說,從訴訟的角度來看,企業在個資保護的作為上,只要能夠證明企業沒有任何故意或過失,善盡善良管理人 的責任,以及受到不可抗力因素導致的個資外洩風險,法官通常會酌情減輕罰則。
信任是企業最昂貴的資產
電子商務業者Payeasy營運長陳怡宏說:「信任是昂貴的,也是企業最重要的資產。」曾經經歷過會員資料在2007年12月,遭到中國詐騙集團,企圖以 資料拼圖方式暴力竊取的慘痛經驗,當時Payeasy以大張旗鼓、對外宣揚的方式,提醒所有會員注意相關個資是否被竊取,也是目前唯一一家,主動對外公開 會員個資現況危險程度的業者。
陳怡宏認為,資訊安全包含個資保護都不是資訊或技術的問題,而是企業經營層面的政策問題。只有當企業認為資安與個資保護與企業營運息息相關時,企業才會提供足夠的資源與心力在上面。
當時,Payeasy簡單的因應策略可分成先止血,將所有可疑的帳號、可疑的IP立即封鎖;再來是清查,地毯式的清查所有會員帳號、密碼,是否有不正常的 存取現象,並且在第一時間內,以網站公告、電話聯繫和限時專送信件告知帳戶異常存取的會員;最後就是蒐證,把每一個會員帳號異常存取的動作,完整保留下 來,並於第一時間報警、召開記者會,將收集到的相關事證,提供相關單位做後續的調查追蹤。
陳怡宏指出,資安推動不容易,企業投資資安和個資保護措施時,若只一味看重投資報酬率,最後只有到出狀況時,才會後悔相關的保護措施不足。
為了避免不必要的後悔,Payeasy以「會員資料」作為個資保護的重心,明訂存取策略並實施資料分級制度,透過分散式的資料處理方式,以及P、D、C、 A持續不斷的改善流程落實個資保護。他強調,唯有把每一次檢視個資保護的流程,都當成當年「第一次遇到詐騙集團攻擊時的因應心態」,才能不斷以最謹慎的態 度因應個資保護的作法。