觀點

無處藏匿

2009 / 07 / 02
BEN HALPERT 譯 ■ 左恩燦
無處藏匿
在數位時代,資訊安全與負責隱私的團隊必須共同合作,保護個人資訊。

  在數位時代,「隱私」已經成了遙遠的記憶。在網際網路、企業內部網路、電信網路或電腦裝置上,沒有所謂的隱私。我們每天的生活缺乏隱私,這是無可否認的事實。不要誤會,我只是隱私保護的擁護者。但是,現今技術的現實狀況,讓外界能輕而易舉地有機會存取與個人相關的資訊。

  假如你在資訊科技與安全相關的領域待得夠久,而且了解我們是如何走到現在的階段,那麼你應該會相信這一點。我們需採取具體行動來保護個人隱私。郵件訊息不會自己加密;IP 位址因為某個原因是曝露的;絕對的信賴基礎架構服務供應商;資料流量被蒐集提供分析;資料查詢存取被保存、記錄與分析。而確實有技術對策,可協助保護個人隱私, 但是, 有一定複雜度。多半的狀況是,有個人會被要求比其他大部分的使用者要更深入了解技術。

  組織中的資訊安全與負責隱私的團隊必須共同合作,以應付線上隱私問題。光是只有安全團隊憑藉著實體與邏輯上的管控,來評估系統與決定風險等級是不夠的。涉及隱私的部份也必須被列入考量。當必須處理無所不在的技術性問題時,安全與隱私部門間培養緊密的關係是必要的。

  基本理由有2部分。首先, 當在儲存、處理或傳輸員工與客戶的個人識別資訊(PII, personally identifiable information)時,會需要額外控制保護,也許屬於系統某個類別的PII存在著風險,沒被辨識出來,但是系統的使用或操作,可能會間接地影響這類資訊。其次是,每個人對組織在進行儲存、處理流程或是傳輸他們的PII時,都有一定的信賴。當組織將他們的PII交由企業內部,或者可能由委外單位管理時,其中涉及隱私的部份,組織必須對他們善盡告知的責任。

  當然,談到隱私問題,組織有其調和的作法。他們要確保資產有被適當地使用,還有智慧財產沒有受損害。此外,違法行為可能會導致的訴訟紛爭必須避免,以及工作時間必須適當地分配。從國家安全的角度來看,在大多數的國家,其政府會對電信基礎架構的某些特定流量進行監視;而「某些特定流量」之定義,則是由主流的政治與社會環境說了算。

  這是經常有的事,我們這些從事IT技術與安全營運的人,忘了自己和全世界12億的網路使用人口比起來,不過是少數民族。

  下次,你在擬定有關新的、更正安全政策宣告、安全意識教育訓練題材,或是全體員工備忘錄的時候,將組織的隱私官找來一起討論。此外,在儲存、處理或傳輸員工與客戶PII的過程中,將涉及隱私的部份一併考慮進去。同時,安全與隱私功能亦需考慮到終端用戶多種不同的背景。他們並不知道他們在網路上所面臨的威脅,只能從資訊安全與隱私政策的標題中辨識,就像從媒體所報導的一樣,我們的職責是協助同仁與客戶適當程度地了解,當他們翱遊於網路,還有使用各式各樣的電腦裝置時,資訊曝露是確實存在的。