個人資料保護法合規性概述

作者/林信忠

前言 上一期電子報的文章中介紹了凌群電腦針對個資法所設計的”個資檢核服務”, 從資訊安全的角度,針對個資法關鍵意涵條文(第十八、二十七、二十九條),如何防止資料被竊取、竄改、洩漏、毀損、滅失著手, 進而設計出包含管理、技術、操作、支援四個構面的檢核表來協助客戶因應個資法所可能帶來的風險。客戶可能接著會提問,”怎麼樣才能免責?”怎麼樣才能證明自己無故意或過失?” ”是否完成個資檢核表的控制項目後就不用擔心個資法了呢?” 其實這又是很難回答的問題,原因在於發生了違反個資法的事件後,除了組織提供的客觀證據外還牽涉到人為(如法官、主管機關查核人員)的主觀判斷,故沒有人敢說一定怎樣就怎樣?關鍵在組織應於在合理的條件(如經費或人力等資源的配置)下儘量做到個資保護,即使現在預算或人力不足,也要安排相關的roadmap循序漸進尋求改善,如此則至少發生事情時能夠拿得出證據或說法來,雖說不能完全免責,至少能最小化損失。須知個資保護主要由管理與技術兩個層面著手,應該這樣說以管理為主、技術為輔的方式來進行。 在凌群所設計的個資檢核表中,關於管理部份的控制措施並沒有敘述到很細節(detail)的部分,比方說組織是否定有個資保護規範或政策?至於政策或規範的內容為何?這並不在檢核表的內容範圍內,客戶會問”那到底要做甚麼呢?”,以筆者的見解,可由目前公認最具公信力與涵蓋面最廣的資訊安全管理標準ISO 27001來著手,因為許多個資或資安保護理論、控制皆參考ISO 27001或由其衍生出來的。下面將分別對ISO 27001與個人資料保護法作一簡介。 ISO 27001簡介 ISO 27001是一個資訊安全管理標準,要達到這個標準就必須建構一套「資訊安全管理系統」(ISMS, Information Security Management System,以下簡稱ISMS),此處所指的「系統」與一般慣用的資訊系統、網站系統不同,比較貼切的解釋應該是管理規範、作業流程與文件表單。在ISMS的範疇裡,資訊被視為一項有價值的資產(asset),因此需要受到適切保護。保護的目的在於維護資訊的機密性 (Confidentiality)、完整性(Integrity)與可用性(Availability),簡稱CIA。 機密性指避免非法的暴露,需經授權方可存取;完整性指避免非法的竄改,表示取得的資料必須正確完整;而可用性則代表當有需要時,能可靠(reliable)與及時(timely)取得資料。ISMS從風險管理切入,透過資產的鑑別,威脅與弱點的確認,讓組織充分瞭解風險所在,並利用各種矯正預防措施將風險降低並控制在可接受範圍內。舉例來說,系統管理人員最擔憂的可能不是價值不斐的機器設備故障,反而是儲存組織重要資料的某台較便宜的磁碟損壞,因為後者存放了重要資料,而此資料的價值遠大於其所存放的載體本身;若組織不能接受此重要資料遺失或毀損所可能帶來的損失,就要採取矯正預防措施(如備份等)來降低或轉移損害的風險、必須持續監控看看這些措施是否有效?整個過程是一套PDCA(Plan,Do,Check,Action)循環程序,前面程序的輸出是後面程序的輸入,整個過程生生不息,這也是老外稱之為系統(System)的原因。

《圖一》ISMS過程之PDCA模型
資料來源: http://www.bctest.ntnu.edu.tw/flying/flying51-60/flying56-3.html
要如何量測ISMS的適切性與有效性呢?為此,國際標準組織(ISO)於2005年頒佈了ISMS的 國際標準—— ISO 27001:2005,提供建置ISMS的一套完整的規範與標準。循此標準建置後,可透過公正獨立的第三方組織,進行稽核與驗證,通過後並授與證書。 ISO27001以建立、實作、運作、監視、審查、維持及改進ISMS系統,其擬訂了 11個控制領域,39個控制目標,133個控制要點,藉由達到上述各項控制措施來確保組織之資訊安全。

《圖二》ISO 27001 11個控制領域
資料來源:個資法與ISO 27001相通性與操作性概述
個人資料保護法簡介 個人資料保護法(以下簡稱個資法)共計六章56條, 第一章:總則(第1條至第14條)。 第二章:公務機關對個人資料之蒐集、處理及利用(第15條至第18條)。 第三章:非公務機關對個人資料之蒐集、處理及利用(第19條至第27條)。 第四章:損害賠償及團體訴訟(第28條至第40條)。 第五章:罰則(第41條至第50條)。 第六章:附則(第51條至第56條)。 其立法目的在於規範個人資料之蒐集、處理及利用,避免人格權受侵害,促進個人資料之合理利用。該法參考了OECD(經濟合作暨發展組織)個人資料使用基本原則、BS10012(英國個人資料保護標準)等規範來制定。由於世界諸多先進國家已有保護個人資料或隱私權相關法律制定,故個資法的立法與實施誠為我國是否邁向已開發國家之林的一項十分重要的觀察指標。 茲將個資法重點摘要說明如下
  1. 適用主體:所有行業機關與自然人。
  2. 保護個體: 所有行業機關與自然人所收集、利用、處理的符合條文定義的個人資料。
  3. 蒐集規定:需告知當事人。
  4. 刑事責任:營利的主觀意圖(如竊取個資販賣等)或未有營利的意思或意圖(如未盡保護責任導致資料遺失等),刑期2~5年。
  5. 民事賠償:每筆資料5百~2萬,上限2億元。
  6. 行政處罰:2萬~50萬,並可累計處罰。
  7. 主管機關:目的事業主管機關或組織所在地之縣市政府。
  8. 增加代訴訟相關規定。
  9. 舉證責任的倒置:由原告舉正轉成被告舉證。

《圖三》OECD個人資料保護原則
資料來源: http://www.watchsoft.com.tw/Inside%20page_C_News.html
綜觀ISO 27001與個資法的意涵,我們可以這樣說,個人資料亦屬於組織資訊資產之一,自然需要保護;且因法律具有強制性,故需依其所制定的要求,從蒐集、處理、利用、儲存、傳輸各階段嚴格保護。對於已通過ISO 27001的組織來說,建議可由擴大ISMS範圍(scope)與強化關於個人資料保護措施著手;若為未導入ISMS的組織,則將焦點與資源專心投入個人資料保護即可。要有甚麼樣的保護安全措施才好呢?消極的做法是看同業,特別是與自己相同規模的組織做到甚麼程度?自己想辦法達到那個程度,最好比這個程度再好一點,但是這樣子有點駝鳥心態。積極的做法則是看看自己的目的事業主管機關有無對應的要求?若無則看其他種類的目的事業主管機關有無要求?若還是沒有則看國際上有沒有相關的安全保護規範,同理想辦法做得比這些都還要好一點。 據了解,目前已有許多主管機關訂有資安或個資相關的規範或要求。下面是教育機構個人資料檢核表內容,筆者覺得深具個資保護參考價值,將其略做修正後摘要如下,該表共分個人資料保護持續改善管理流程、個人資料保護與安全、設備管理、人員管理、系統開發及委外管理五大項。 一、個人資料保護持續改善管理流程
  1. 組織需建立個人資料保護管理政策。
  2. 組織需建立「個人資料檔案清冊」,並依於網站公布個人資料檔案大綱。
  3. 個人資料檔案需指派專人或專責單位管理。
  4. 組織需評估資料處理流程上的風險,設定資料保護要求(如資料分級等)。
  5. 組織應確認個人資料之蒐集與利用符合法令規定,包含
    • 資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
    • 蒐集資料時,應依法令規定告知當事人蒐集之目的、利用範圍等資訊。
    • 當資料利用範圍超出蒐集的特定目的時,應取得當事人之同意。
  6. 組織應定期執行稽核作業,以確保相關個人資料保護管理措施之有效性。
  7. 組織應訂定個人資料資訊安全事件處理程序。
  8. 組織應針對資訊安全事件及稽核缺失訂定改善行動或預防措施,以減低事件再次發生機會。
二、個人資料保護與安全
  1. 組織應指定高階主管為個資隱私業務之召集人。
  2. 組織應指定專人辦理安全維護及保管事項。
  3. 應設置「個資保護聯絡窗口」,協調聯繫個資事宜,並將聯繫方式(如:電話、email)置於單位網站。
  4. 個人資料之處理行為應依權責單位核准,釐定使用範圍及調閱、存取等權限。
  5. 個人資料之處理行為應留存使用者身分與其行為紀錄以供事後稽查。
  6. 含有個人資料之紙本報表,其處理及利用行為應經適當之授權、監督,及記錄。
  7. 交換紙本個人資料時,應採取彌封或其他具備保密機制之傳遞方式。
  8. 交換個人資料時,應記錄轉交或傳輸行為之流向。
  9. 對於個人資料之調閱,應有申請及核准程序。
  10. 對於個人資料之調閱,應記錄並保存調閱者身分及行為。
  11. 若需於網站或網頁公布個人資料時,需經核准,並依相關法律及規範處理。
  12. 應於法律允許之範圍內提供資料當事人下列權益:
    • 查詢或請求閱覽
    • 請求製給複製本
    • 請求補充或更正
    • 請求停止蒐集、處理或利用
    • 請求刪除
  13. 處理個人資料檔案之個人電腦,應設置使用者代碼及通行碼。
  14. 通行碼應定期更換,長度應至少8碼,且包含文數字。
  15. 除非必要,應禁止與他人共用電腦系統帳號。
  16. 處理個人資料時應採取權限區隔,非專責處理特定個人資料者不得具有存取或查閱個人資料之權限。
  17. 個人資料檔案應以加密等安全的方式保護。
  18. 應定期備份電腦內個人資料檔案。
  19. 個人資料檔案使用完畢後,應要求立即退出應用程式。
  20. 電腦是應使用螢幕保護程式並設定密碼,並設定螢幕保護啟動時間。
  21. 交換個人資料檔案時,應對資料檔案加密,或是透過加密通道來傳送。
  22. 除非必要,應禁止開啟網路芳鄰分享目錄與檔案。
  23. 除非必要,應停用作業系統Guest或anonymous等匿名帳號。
  24. 應將存放敏感性個人檔案資料的電腦與外部網路隔絕,或有其他嚴格的存取管控措施。
  25. 存放個人資料之資訊設備應執行定期/不定期之惡意程式掃瞄。
  26. 存放個人資料之資訊設備應定期檢視、修正作業系統及應用程式漏洞。
  27. 與個人資料相關之電腦系統需留存相關紀錄/日誌以便稽核,其紀錄/日誌應包含
    • 人:(如來源IP、使用者帳號等)
    • 時:(發生的時間)
    • 地: (如目的IP、設備名稱等)
    • 事:(做了甚麼行為?如帳號登入錯誤訊息等)
    • 物:(如資料庫表格、檔案路徑等)
三、設備管理
  1. 組織應指定專人負責管理儲存個人資料檔案之資訊設備與其他相關設施,並檢視、處理其錯誤或異常事件等訊息。
  2. 儲存個人資料之資訊設備應置放於實體安全區域(如:門禁控管之辦公區域、機房)。
  3. 儲存個人資料檔案之磁碟、磁帶,及紙本等相關儲存媒體,應指定專人管理,並置於實體保護之環境。
  4. 儲存個人資料檔案之儲存媒體,應建立備援機制。
  5. 儲存個人資料檔案之媒體應有攜出、拷貝或複製的管控機制,並留存紀錄。
  6. 外部團體或個人更新或維修儲存個人資料檔案之電腦設備時,應指派專人在場。
  7. 儲存個人資料檔案之電腦或相關設備如需報廢或移轉他用,應確實刪除其所儲存之個人資料檔案。
四、人員管理
  1. 組織應對處理個人資料檔案之人員施予資訊安全與個資隱私保護之教育訓練(每年至少3小時),並定期於單位內宣導個資隱私保護之重要性。
  2. 處理個人資料檔案之人員職務異動時,應要求依規定列冊移交相關儲存媒體及資料。
  3. 處理個人資料檔案之人員職務異動時,相關系統應重設通行碼,並視需要更換使用者識別帳號。
  4. 處理個人資料檔案之人員,需簽訂保密切結書。
  5. 處理個人資料檔案之人員離職或合約終止時,需取消或停用其使用者識別帳號並收繳通行證件。
  6. 除非必要,應禁止使用MSN或其他即時通訊軟體傳輸個人資料檔案。
  7. 除非必要,應禁止使用外部網頁式電子郵件(Webmail)傳輸個人資料檔案。
  8. 應禁止使用點對點(P2P)軟體及Tunnel相關工具下載或提供分享檔案。
  9. 應禁止人員在社群網站、部落格、公開論壇或其他利用網際網路形式公開業務所知悉之個人資料。
五、系統開發及委外管理
  1. 處理個人資料檔案之資訊系統,應在系統開發生命週期之初始階段,將個人資料檔案的安全需求納入系統開發考量(如:邏輯測試)。
  2. 處理個人資料檔案的資訊系統之維護、更新、上線、及版本異動等作業,應有安全管控措施。
  3. 維護人員或系統服務廠商以遠端登入方式進行牽涉個人資料的資訊系統維護或其他有關之運作時,應透過加密通道進行(如:HTTPS、SSH等)。
  4. 自行開發或委外處理個人資料檔案之資訊系統,應將個人資料(包含測試用個人資料)施予妥善之保護與控管。
  5. 委外建檔的個人資料檔案,應於委外合約中載明所處理之個人資料保密義務、資訊安全相關責任及違反之罰則。
結論 本文以個資法合規性的角度出發,建議組織若做到前述檢核表的五大類各項控制措施並搭配凌群電腦的個資檢核服務將可能達到免責或部分免責的效果。其實,嚴格說來這是一種治標的做法,因為個人資料的型態,使用者的行為與企業個資環境千變萬化,萬一某項控制措施較脆弱或沒被羅列,還是有個資被竊取、洩漏、毀損、滅失、竄改的等違法的風險。最重要的是組織需有健全的心態,站在個資當事人的角度來思考問題,如此才能避免頭痛醫頭、腳痛醫腳的窘境發生;一切應回歸到從如何避免人格權受侵害的基本立法精神來作為個資保護的終極考量。 參考資料 1.中華民國個人資料保護法 2.ISO 27001:2005條文 3.教育機構個人資料保護規範 4.黃小玲,個資法與ISO 27001相通性與操作性概述,行政院國家資通安全會報技術服務中心