漫淡個人資料保護

作者/馬志軒


前言 隨著新版個資法即將施行,「個人資料」這四個字,最近在企業界一個非常夯的名詞,不論您是企業主或是IT主管、系統管理者甚或是一般的小職員,在這二年當中對這「個人資料」一詞絕不陌生,而各式各樣的研討會、資安產品、顧問服務……等,無一不是為了協助企業用戶因應新版個資法所衍生出來相關的服務,今天我們就來好好的剖析一下這個和我們在工作職場上息息相關的專有名詞及企業主該如何來面對它。 個資的涵蓋範圍 所謂的個人資料,一般人可能認為就是姓名、電話、地址、身份證字號等常見的連絡方式,其實不然,在新版個資法中就有詳細的定義:個人資料指的是自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 瞭解了個資法的定義後,我們可以發現,其實需要被保護和重視的個人資料,比想像中還要來的多,這也就是為什麼最近許多企業主一聽到個資法就有一股莫名的壓力,而首當其衝的,應該就是政府單位、金融單位和醫療單位,舉例而言,保有全國人民繳稅記錄和金額的國稅局,一旦資料被竊取,那麼可能就會有民眾接到許多利用補稅或退稅名目而被詐騙銀行帳戶資料或是金錢的事件發生,而金融機構的個資外洩了,後果更是不堪設想,也正因為這些資料可能導致民眾遭受愈來愈嚴重的個人損失,才會有「新版個資法」的產生,新版的個資法於2010年4月27日立院三讀通過,同年5月26總統公佈名稱及全文56條,至於施行日期,由行政院定之。一般預估正式的施行日期應會在2012年下半年左右,面對即將來臨的個資法強大的挑戰,大家也都摩拳擦掌,規劃及佈建各項防護的措施,希望不要成為下一個被處分的對象。 企業個資使用的生命週期 針對企業內部的個資使用生命週期,我們可以歸納出下列流程:

《圖一》
一、個資蒐集:企業在蒐集所需之個資時需告知當事人詳細的內容及事項,並取得當事人之同意,個資檔案和資料是在這個時期開始產生並往下一個階段走。 二、個資處理:公務機關和非公務機關在取得客戶個資時,往往會將該資料透過系統工具將之進行歸檔、分類,進而產生可資利用的型式,需注意部份資料屬於間接搜集的資料,務必於第一次使用前告知當事人資料來源,再進行資料的處理。 三、個資利用:此一階段,資料和檔案已轉換為可供企業使用的重要資訊和資產,需特別注意安全機制的控管及是否正常運行,同時要依當事人的要求提供修改補充及查詢之權限。 四、停止利用、刪除:當個人資料搜集之目的消失或是到期時,需主動或依當事人之請求將資料刪除並停止處理和利用該資料。 以上四個時期就像人的生命週期一樣,從出生到死亡,每一個步驟都有其代表的重要意義,而如何確保在每一個時期都能完整的實踐所要做到的事,則要依靠許多制度規章、人員管理或是自動化工具去達成,這也是對企業主來說一個非常重要的課題。 個資的保護方式 一、制度面: 要以最有效的方式管理所有的個資,並且能詳細的規範由上到下、由小到大的所有事項,唯有從制度面著手,因應個資法,國內許多專家學者共同研究,並結合國外的經驗,筆者綜合國內許多資安專家們的看法,一致認為PIMS(Personal Information Management System)是最能符合台灣個資法精神的一個做法,透過導入這個管理制度能讓企業清楚的了解公司內部個資資產的運作流程,同時也能透過資產盤點明確的知道所有個資資產分佈位置PIMS主要執行方法,其是透過PDCA的方式,對企業內部量身打造一套完整的保護制度,並透過第三方認證單位進行嚴格的考核,通過後即表示該企業從組織架構、管理辦法訂定、資料保全機制、人員教育訓練、內部稽核控管、定期檢討改善計劃執行都有一固定且完整的程序,可使企業主在未來若面對個資法的考驗時,能迅速提出舉證,保障自己及企業的權益。

《圖二》
二、工具面: 除了制度面規範是必要的之外,協同工具和系統的導入,也是不可或缺的。我們將企業內部可能存放重要個資的地方,歸納為三個構面:
  • 資料庫防護:因許多重要且大量的資料都是存放在此進行報表分析和正規化,因此DB若是遭到攻破,對企業影響絕對是非常大,風險也難以計量。
  • 網頁主機系統防護:網頁是企業對外的象徵,但也因為它需要對外提供服務的特性,往往成為駭客們首要的攻擊目標,而相對的其安全性就十分重要,否則從駭入webserver之後要進入DBserver,比起直接駭入DB是較為容易的事。
  • 端點防護:端點的資安是最令人頭痛卻又不能不去面對的一個項目,因為它涵蓋的範圍即多且雜,而可能外洩的管道和方式又有上百種,所IT部門一定得定訂出一套有效且又節省人力的控管方式以達到事半功倍的成效。

《圖三》
企業責任 現今社會講究的是社會責任,對企業主而言,除了賺取利潤之外,如何回饋社會以及塑造一個良好的企業形象,已經變成是一個必修的學分,除了利用實際行善公益活動外,建立一個體質良好的資訊安全環境,雖然無法立即看到成效,但是這對企業的正面形象及企業客戶的保障,絕對會有正向的幫助,同時也能夠符合法規的遵循,正可謂是一舉數得,也是企業主的最佳選擇!