觀點

資訊安全與個人資料保護

2008 / 05 / 12
編輯部
資訊安全與個人資料保護
訊安全與個人資料保護相關法令及規範
近年來因為網路的快速發展,世界各國透過網際網路進行相關電子商務行為越來越熱絡,相對的,資訊安全與個人隱私的問題也逐漸浮出檯面。以台灣而言,在法律上已經通過執行「電腦處理個人資料保護法」、「電子簽章法」等法案,都是在維護個人資料保護與資訊安全,但是整體而言,目前政府在國家資通安全會報、行政院研考會與各單位的努力下,資訊安全的基礎建設已經具備了基本的成效。
其實,資訊安全在法律面外,在國際上還有一個資訊安全管理系統的標準Information Security Management System(ISO-27001),國內標檢局也已變成了國家標準(CNS-27001),除了標準之外,另外還有「行政院及所屬各機關資訊安全管理要點」及「行政院及所屬各機關資訊安全管理規範」,政府各單位也編制資訊安全長,負責資訊安全的整體工作,因此皆可依據標準及規範來執行資訊安全工作。反觀個人資料保護部分,除了法律面外,並無相關的標準及規範,雖然於「行政院及所屬各機關資訊安全管理要點」中提到「採行適當及充足之資訊安全措施,確保各機關資訊蒐集、處理、傳送、儲存及流通之安全。」、「機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布」,及「行政院及所屬各機關資訊安全管理規範」第肆章電腦系統安全管理第五節個人資料之保護中提到「應依據電腦處理個人資料保護法等相關規定,審慎處理個人資訊」、「應建立個人資料控制及管理機制,並視需要指定負責個人資料保護之人員,以便協調管理人員、使用者及系統服務提供者,促使相關人員瞭解各部門應負的個人資料保護責任,以及應遵守之作業程序。」(如圖一所示),但並沒有確定的作法可以讓政府部門可依循。
在電腦處理個人資料保護法中「第十七條公務機關保有個人資料檔案者,應指定專人依相關法令辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」。「國家標準CNS 17799資訊技術-安全技術-資訊安全管理之作業」中「15.1.4 個人資訊的資料保護與隱私」規範「為遵循此政策與所有相關的資料保護法律及法規, 需要有適切的管理結構和控制措施。通常最好指派如資料保護專員(Data Protection Officer)的專人負責,來達成此目的。處置個人資訊和確保資料保護原則認知的責任宜依據相關法律及法規處理。宜實作適當的技術與組織措施以保護個人資訊。」,皆可看出不論法律及標準,都規範有指出必須指定專人來處理個人資料保護之相關業務,但目前政府機關的人員業務繁重,人力不足,要能夠指派專人來處理個人資料保護業務的確有執行上之困難。
整體而言,以個人資料保護而言,應該訂定一個管理程序的標準,讓政府機關或民間企業都有遵循的依據,以國際狀況而言,目前日本推行個人資料保護非常成功,其除了法律制訂之外,還包括行政命令及規則,明訂政府或企業所控管的民眾個人資料超過5000筆,就必須要通過政府認可的隱私權認證,以確保民眾個人資料保護的基本隱私權,也訂定個人資料保護管理程序的標準(JIS Q 15001),其政府機關各部門依據個人資料保護管理程序的標準,各自訂定其領域的個人資料保護規定,並要求其相關民間機構遵循。
2. 資訊安全及個人資料洩漏案例
近年來在台灣個人資料洩漏的狀況非常嚴重,例如,公務機關的部門郵寄民眾的催繳罰單,其罰單是以電腦報表用紙列印,再直接表單對折寄出,一面是民眾的名字和地址,一面是載明身分證字號、姓名、車號、地址與違規事實的罰單內容。當民眾質問此舉是「剝奪人民的隱私權」,但官員卻指「規定就是這樣做」,置之不理。例如,非公務機關電信業者及網路上論壇網站之個人資料外洩,尤其是電信業者的二百多萬筆個人資料,遭竊取之資料均為使用者之機敏資料,嚴重危害民眾個人隱私,若遭不法利用更可能嚴重危害社會治安。例如,目前電腦處理個人資料保護法規範範圍外的購物業者,遭詐騙集團冒用名義,向會員以傳統ATM操作方式詐財,根據媒體報導,由於受騙民眾反應詐騙集團能無誤說出其訂購商品之明細、購買時間等,才相信對方確為購物業者客服而導致損失,並因而懷疑購物業者內部之客戶資料可能已經外洩。
這些案例顯示出目前發生個人資料外洩的主體不僅是電腦處理個人資料保護法的八大行業,其他各單位發生的狀況也非常多。對於民眾而言,千奇百怪不同手法的詐騙電話不斷的發生,不僅是造成精神上的折磨,還可能發生金錢上的損失。研析這些案例看來,除了可能是資訊安全上的漏洞或遭到駭客入侵的方式造成個人資料外洩,另外還包括作業及人為上的疏失造成個人資料外洩。雖然電腦處理個人資料保護法第四章損害賠償及其他救濟中第二十七條公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。但是就以往經驗而言,以單一民眾要控告公務機關而執行國家賠償實屬不易,應該由民間團體整合各受害民眾共同來控告公務機關才具備力量讓政府機關重視此問題。另外以上案例還凸顯一個重要的問題,就是許多民眾可能都不知道洩漏的個人資料是否包括自己的資料,也無從查起,這些關於主體的範圍,民眾求償的方式以及舉證問題,都是目前電腦處理個人資料保護法許多不足需要補強修正的地方,以目前法務部所提出修正法案的內容,皆已經擴大範圍及修正內容,惟其修正法案雖於民國九十四年時一讀通過,但可惜的是該法案還在立法院進行協商,目前尚未二、三讀通過,此法案與民眾基本隱私權力息息相關,執政黨及在野黨若是以民為主,應該具備共識早日通過此修正法案,不但為民眾牟取福利,也相對增進國家對外的競爭力。
3. 個人資料保護管理程序
以國際管理程序的標準,其步驟大略包括規劃(Plan)、執行(Do)、檢查(Check)及改善(Act)四個循環步驟,但個人資料保護管理程序與其他國際標準不同的是要能夠與國內的相關法律相對應。其實目前許多負責處理個人資料的公務人員都希望可以遵循法律執行公務,但是卻無法得知其工作程序中處理個人資料時是否違法,這就是缺少一個國家標準的管理程序制度,如圖二所示。本文將會就個人資料保護管理程序的步驟提供建議供公務機關或非公務機關執行個人資料保護時的一個參考。
個人資料保護管理程序的主要範圍及目標包含如下:
? 建立、實作、維護與改進個人資料保護管理系統;
? 確認組織的個人資料保護管理系統與本標準一致;
? 請求外部組織或個人確認個人資料保護管理系統與本標準一致;
? 請求外部組織驗證/註冊此個人資料保護管理系統。
在此範圍及目標下,區分為規劃階段、執行階段、檢查階段及改善階段四個循環階段來進行個人資料保護相關作業。
3.1規劃階段
公務機關或非公務機關進行規劃時,必須先要瞭解個人資料的定義,以電腦處理個人資料保護法中定義的個人資料,指自然人之姓名、出生年月日、身份證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。這部分的規範範圍稍嫌不足,修法中已經再加以擴充。
規劃階段應該制訂單位內的個人資料保護政策,確定內部執行個人資料保護的方向及目標,規劃階段的步驟應包括
? 個人資料之確認
? 法律、指導綱要與其他法令
? 風險識別、分析與對策
? 資源、角色、責任與權責
? 內部規章
? 規劃文件
? 緊急狀況之準備
因此規劃階段確認內部所處理之個人資料後,必須瞭解相關的法律,進行相關的風險識別及分析,而後規劃內部的角色與權責,訂定內部規章,最重要的是要有緊急狀況處理之準備。
3.2執行階段
執行階段為實際執行的行為,所以重點在於制訂作業上的運作程序,並且依據此程序執行個人資料保護作業,執行事項主要為個人資料的蒐集、處理及利用。執行階段的工作項目應包括:
? 運作程序
? 獲取、利用與提供原則
? 特定目的之確認
? 適當的獲取
? 特種個人資料蒐集、處理或利用之限制
? 直接向當事人蒐集個人資料之告知措施
? 蒐集非由當事人提供個人資料之告知措施
? 利用之措施
執行階段蒐集、處理及利用時的告知措施非常重要,另外對於特種個人資料的蒐集利用的限制必須確實瞭解,利用個人資料時一定要合乎法律、政策及程序的要求。
3.3檢查階段
檢查階段非常重要,也就是運作過程中是否可以符合法律及規劃階段政策的要求,因此各單位必須建立稽核的制度。檢查階段應包括:
? 準確度之安全
? 安全控制措施
? 員工的監督
? 受託人的監督
? 運作確認
? 稽核
此階段要稽核個人資料在蒐集、處理及利用過程的安全控制措施,並確認運作程序過程中是否有缺失。稽核人員的培養及訓練非常重要,有合格的隱私權顧問師可以確保稽核制度的順利進行及發揮應有的功效。
3.4改善階段
改善階段主要針對檢查階段的缺失進行改善作業,單位內應建立、實作與維護程序,以決定責任及權責,確保矯正與預防措施的實作,此程序應包含下列事項:
? 確認不符合的内容;
? 確定不符合的原因,提出矯正與預防措施;
? 決定期限,實施所提出的措施;
? 記錄實作矯正與預防措施的結果;
? 審查實作矯正與預防措施的有效性。
? 組織管理階層的審查
改善階段所處理的缺失可能是因為人為的疏失或是政策的錯誤,關於人為疏失的部分可確認原因後提出矯正及預防措施來改進,而政策的缺失就必須要重新於規劃階段修正政策內容。矯正及預防措施必須由管理階層及稽核人員確實審查及有效性,其中管理階層得參與非常重要,也是成敗的主要關鍵。
4. 結論
電腦處理個人資料保護法,隨著資訊科技的進步,其主體及客體的範圍皆已經不符合現代的環境,就如同台灣隱私權顧問協會所舉辦「國際個人資料保護研討會」中,日本隱私權協會執行長IDOTA所舉日本成功案例,從政府法律、標準到民間協會配套的教育訓練,造就日本今日的成功經驗。資安人侍總編輯在座談會中也更直接提出民眾控告政府的無力感,法務部劉專委也透露原電腦處理個人資料保護法的不足之處,德國標準黃經理也建議必須建立個人資料保護管理制度、加強個人隱私權認知教育及建立稽核認證制度。台灣隱私權顧問協會的陳理事長最後希望政府將電腦處理個人資料保護法的修法儘速通過,並建立認證的教育訓練課程增進對隱私權的基本認知,更期望協會可以獲得更多人及團體的支持,未來當發生個人資料外洩,造成民眾損失時,可以出面替受害的民眾爭取其應該獲得賠償的權利。