前言

我國在民國84年就訂定了「電腦處理個人資料保護法」，並在民國85年公布「電腦處理個人資料保護法施行細則」，明訂「徵信業、電信業、醫院、學校、金融業、證券業、保險業、大眾傳播業」等八大行業必須遵守。而新版「個人資料保護法」於4月27日在立法院三讀通過，總統令也正式於5月26日公布，目前預定在民國100年11月25日會公布施行細則，並公告實施日期。

在此次個人資料保護法中具有6個重要立法意旨：

擴大保護客體：納入人工資料 (如 紙本文件)，不再僅只於電腦處理之資料。

普遍適用主體：原本之規範只有列入受管理的政府機關，與8種民間產業(徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業 )。而新版個資法則擴及到各行各業。

增修行為規範：擁有個資之企業，不能任意運用個資進行行銷。同時在發生個資外洩時，企業必須盡到主動告知之義務 (基於SB 1386精神)。

強化行政監督：監督權責由執法單位的司法機構，授權至中央目的事業主管機關或地方政府得強制檢查、處分或處罰。

促進民眾參與：就是建立團體訴訟之機制 (代位求償)。

調整責任內涵：之前是只有民事責任，現在則有刑事責任。

以目前法務部提供的資訊來看，在施行細則中針對「公務及非公務機關之適當安全維護措施」預計會明定安全維護事項，此安全維護事項包括：

必要之組織

界定個人資料之範圍

隱私權影響評估

個人資料蒐集、處理或利用之程序

當事人行使權利之處理程序

資料安全

資料稽核

人員管理及教育訓練

設備管理

紀錄與證據之保存

緊急應變措施及通報

改善建議措施

其他安全維護事項明訂

如何因應個人資料保護法

「個人資料保護法」中規範個人資料由收集、處理、儲存、利用、與銷毀等階段皆須符合「個人資料保護法」。

資料本身而言是『靜態』的，但是當資料在被處理時，其實是一個『移動』的過程，是在組織內部不同的部門、不同的人、進行不同的作業。所以資料處理是有『生命週期』。在思考個人資料要如何保護時，應該要從這方向去思考及規劃的。



首先在因應「個人資料保護法」，應先了解到「個人資料保護法」包含的不只有IT，「個人資料保護法」規範的收集、處理、利用來說，跟IT有關的部分只在處理這個部分，而收集與利用都跟公司的業務或是發展有關，因此因應「個人資料保護法」是全公司的事，不能單由IT來看待。

目前公務機關在法務部的要求下，正進行各單位的個人資料盤點，因此在因應「個人資料保護法」首先要做的部分是確認公司內部擁有的個資有哪些？即是進行個資盤點，個資盤點除了確認公司擁有那些個資外，還需要知道個資由誰收集？誰會使用?業務程序為何?

後續還有許多的工作，如：個資衝擊分析、威脅弱點分析等，此部分可參考以下圖示:PIMS建置階段。



為了保護公司內部的個人資料，在資訊處理上凌群電腦建議建構完善的資訊保護作為，採用足夠的防禦縱深來保護，在不同的環節佈署對應的安全防護作為。

以一個提供服務的資訊系統來看，可概略分為提供連線的網路，提供服務的系統(包含作業系統、Web Serve、資料庫...)以及資料、應用作業、業務流程，因此在安全防護上可在不同的環節來處理。

在不同的環節可導入那些資安防護作為，可由圖三資訊安全架構中來了解。其中包含的完整的資訊安全防護建議，由基本的防火牆，防毒防駭機制，到日誌保存與處理，提供完整的資訊安全保護方案。



由另一個方向來看、可把資訊安全防護作為分為：網路、端點、伺服器、網站、資料庫來進行保護，相關防護作為如下：

網路：可採用防火牆，UTM，入侵防禦系統...等

端點：防毒，個人防火牆，DLP...等

伺服器：伺服器行防毒，防火牆...等

網站：WAF，Code Review，網頁弱點弱掃...等

資料庫：DAM，DBF...等

若從資料保護的角度來看，由資料存取端(端點：Client PC，移動式設備、、)，提供資料存取的服務端，與資料儲存端都需要納入資安防護。

資料存取端：就是端點防護，除了基本的防毒外，建議像使用者識別，資料外洩防護、資訊安全教育訓練...等。

資料存取的服務端：就目前來說大多數採用Web 服務，建議評估網頁應用程式防火牆(WAF)，程式碼檢測...等。

資料儲存端：目前大多數資料是以資料庫方式儲存，建議採用資料庫稽核(DAM)，資料庫防火牆...等防護作為。

結語

凌群電腦在個人資料保護上結合了專業的顧問團隊，豐富的資訊系統建置經驗，完整的資訊安全產品，國際品質的系統開發能力，架構出完整的資訊安全架構與服務，提供客戶專業規劃與建置服務。關於相關服務，請與我們聯絡。