https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

台灣邁向民主自由國家的重要里程碑

2008 / 05 / 12
編輯部
台灣邁向民主自由國家的重要里程碑
在立院中審議的個資法已經包含企業必須肩負資料外洩通知用戶的責任,適逢立委選舉,敬請多鼓吹提醒您選區的立委,重視個人資料隱私與公部門資料外洩的議題。
隱私權顧問協會在今年八月成立,協會的使命在於保護與推動個人隱私相關法律與標準之建立,推廣隱私權認知與建置實務。其中的服務包含舉辦各產業別的隱私權研討會,相關產業有政府、金融、醫療與教育。推行隱私權認知課程、建置實務、認證與顧問輔導。
在11月16日舉辦的「國際個人資料保護研討會」以落實個人資料保護、建構優質信賴環境為題,開場由中國科大校長谷家恆以及隱私權協會創辦人邱月香女士發言,宣示台灣隱私權顧問協會在推動台灣隱私權保護的決心。隱私權是基本人權,在先進國家是普遍接受的觀念,在台灣民間則還在萌芽階段。參考先進國家的經驗,隱私權的推動除了有賴政府機關、法案之外,民間的力量也是重要關鍵。法務部常務次長蔡茂盛表示:「亞太經合會議部長級會議通過決議,隱私權保護綱領明確宣示保護資訊隱私與維持資訊流通一樣重要,促進經濟體貿易往來的安全與繁榮。」個人資料的外洩造成社會不正常現象,流入詐騙集團手中引起社會恐慌,從這裡可以看到隱私權保護的重要。法律層面還是不夠 當時的環境與現今差異太大,資訊進步太多,十二年前的個人資料保護法已經不敷使用、跟不上時代的變遷,造成社會保護的疏漏。立法院院長辦公室黃萬翔主任表示,資訊的流通、公開促成了社會加速進步,資訊公開像是一把雙面刃,隱私權除了在法案的推動上,透過研討會集思廣益,教育、宣導、訓練也是可以幫助法案推動順暢的重要方法。
<圖:團體合照 pic012-014>
透過科技保障個人資料,就會牽涉到資訊安全,推資安都想到國家安全但是忘記了人權,理事長陳振楠先生在會中發表理監事人員名單,包含產官學研的理監事,相信能對於隱私權的推動更添能量。會中也有與會來賓表示,希望未來能多增加一些法律背景的成員,可以為協會目標的推動增添力量。陳振楠表示:「民間的聲音越大,擴散力量會更好。」這也是借鏡美日兩國的成功經驗所獲得的結論,「隱私權顧問協會是一個平台。」未來可以提供民眾相關的諮詢與服務,增加法律顧問協助民眾對隱私權的重視與行動。協會的宗旨在於推廣隱私權之管理面、操作面與技術面;與國內、國際相關機構、協會接軌;提供個人資料保護專業教育訓練;發行個人資料保護專業證照;協助政府及企業進行個資法政策之規劃、執行、檢查及行動。
陳振楠表示,未來將透過自律體系(PMS個人資料隱私管理系統)的建構做為基礎,往上擴展到法律體系包含公務機關的法規命令、行政指導及非公務機關的行政規則與計畫,都需要政府在法律體系上的努力。隱私權顧問協會建議台灣可以效法日本隱私標章,凡是企業只要處理個人資料達五千筆以上就必須要通過驗證,以建構與國際接軌的隱私權保護環境。在會中尚邀請日、美兩國的專家來分享隱私權在先進國家中的推展經驗。
亞洲隱私權標桿,日本高度重視隱私權保護
日本隱私權協會會長Isao Idota分享日本如何推行隱私權政策,擁有個人資料的機關與民間企業必須要有受過專業隱私權證照的人員,提供個人資料與隱私權的保護,若沒做好就是違法。Idota還提出應該把隱私權認證推到APEC裡面,總共有23個會員國。
日本隱私權顧問協會Isao Idota執行長就日本隱私權推動現況與大家分享,他以很風趣的口吻將日本隱私權文化推動的歷史做了簡單扼要的說明,更提到如何透過國際隱私權交流提升日本在國際的影響力。因為資訊科技發達後,跨越國界的個人資料流通變成勢不可檔,因此在OECD的八個原則之下,開始進行相關的標準、法規的推動工作。
Idota本身就是日本推動個資法背後最大的推手,將來也會協助台灣隱私權顧問協會進行相關的推動工作。首先他提到資訊化社會之隱憂,尤其是推動M化、U化之後的日本,在個資洩漏、詐騙增加與網路犯罪增長下,成為日本社會最大的隱憂。日本在1988年即開始在政府部門推廣個人資料保護法,1999年 JIS Standards 通過JISQ 15001:個人資料保護管理系統,因為原有OECD的原則缺乏目前最重要的「保護個資主體」原則,在日本則由基本政策與產業標準(JISQ 15001:個人資料保護管理系統)來補足。2003年受矚目的個人資料保護法通過,隔年則推出產業個資保護指引,2005年全面廣推個人資料保護法。從1998年開始,日本企業只要處理個資超過五千筆,就要通過所謂的隱私標章(Privacy Mark),透過第三方以管理系統標準提供認證,確定組織符合隱私權相關法案,在企業內部政策、規章、標準與執行手冊都必須通過驗證與持續稽核。
日本隱私保護在現在與未來相關議題上,Idota表示,目前日本並沒有針對國外機構蒐集個人資料有相關的規定,就算國外機構有公告隱私政策,但是實際上是否依據政策執行仍無法確定。在法律的要求下,個人資料洩漏事件都被公開。這樣迫使企業通報洩漏事件並建立及時的預防措施。在日本,公告個資相關事件、通知個人有關洩漏事件並回報主管機關是法律上的要求,如此可避免造成個人的傷害。因為政府與企業落實的推展個人資料保護法,企業間個人資料的流通享有周密的協調與保護。透過日本隱私權顧問協會提供個人資料保護管理系統之相關知識,以及建立第三方認證與標章作業機制,希望台灣也能在隱私保護同登先進國家之列。
控制資料的人掌握命運
前任FBI Infraguard組織的Erik Laykin,從事資訊安全、網路犯罪相關調查,同事也是美國總統的資安幕僚,帶來從宏觀看隱私權議題,與談中以非常多國內難得一見的照片與數據和大家分享美國政府如何在隱私權保護上施力。他明確地為隱私作了定義,包括政府、商業、個人在放大到不同層面的道德、犯罪活動與社會隱私保護,不同的地方隱私的保護方式也會不同。就像是用磚塊疊出一個防護牆,需要很多個磚塊來建構,這些磚塊就是上述的不同定義。Erik舉了一個例子,在資訊爆炸的時代,網路犯罪很可能發生在加州的網站、盜刷法國發的信用卡,然後在亞洲消費。
目前歐盟對於隱私的法律規範最為完善,而台灣鄰近的香港、日本、中國、新加坡、馬來西亞、韓國、印度與泰國也有一定程度的資料隱私保護法規。同時他也說明了歐盟安全港(Safe Harbor)的觀念,代表著安全的交易環境,美國國土安全部也仿效歐盟的做法,要加入安全港的企業,其中一樣資格就是要有公司的隱私權聲明及符合安全港的隱私權規範(http://export.gov/safeharbor/SH_Privacy.asp)。此外Infraguard組織是Erik演講中的另一個重點,其宗旨在於關鍵基礎建設的保護與事件分享,在美國有11,970 會員組織,至少88個分會,在Fortune 100大企業中接近七成都是Infraguard的重要會員。
同時Erik提到美國最嚴重的網路犯罪就是身分竊盜,造成很嚴重的金錢損失,超過一半的資料外洩都與網路有關,而在工作場所中超過75%的資料外洩都是人為的,人性依然是安全最大的弱點。
發揮筷子綁在一起的力量 衣服穿好已不足以保護你的隱私
在論壇中也引用三個最近發生的案例來做為論壇的主題,參與貴賓包括主持人:TWPCA理事長陳振楠、法務部法律事務司專門委員劉佐國、資安人雜誌編緝總監侍家驊與TUV的IT經理。針對監理所書面列印資料個資外露、駭客入侵電信公司與購物台事件進行議題探討,引發聽眾熱烈的關注提問與發表建言,劉佐國認為,應該要發揮筷子綁在一起的力量,不是一個受害者去對抗大公司,而是匯集民間力量後才能發揮效果。以前認為穿好衣服、洗澡把拉窗簾拉上,就足以保護個人隱私。但是現在科技太進步,個人隱私在很多地方都有危機。再者,提到資料不當揭露,在台灣你必須要舉證說你是受害者有損失,而在日本不須舉證,就有權請求賠償。個資法到目前為止的判例也多半是金融相關行業,目前沒有對政府機構的提告。然而當天即發生疾管局肺結核資料從GOOGLE就可以查到的隱私破壞案例,政府必須負擔此責任。以前認為政府收集民眾個資,都是理所當然的事情,事實上應該要有依據、有限度,而且機關要善盡妥善保管之責, 不讓這些資料外洩。未來隱私權協會可能會透過召開記者會,匯集民眾的力量,讓隱私權推動走的更有效而不是只有少數人在關心。黃廷弘也提到要從PDCA管理系統的角度來看隱私權的推展。
劉佐國表示,之前林志玲手機被通訊行外洩資料照片,律師說要用個資法去告,實際上通訊行並不在舊版個資法所約束的範圍,而未來新法將涵蓋更廣、更嚴格,提供民眾更高的隱私保護。
台灣隱私權顧問協會的成立,代表台灣在隱私權益保護的更進一步,然而協會的成立僅是一個開端。在隱私權益保護成為世人所共同重視的價值,如何喚醒民眾對自身權益的關切以及政府機關、民間企業的重視,共同付出力量來打造一個更進步的人權社會,相信也是台灣隱私權顧問協會未來最重大的責任。