無處藏匿

在數位時代，資訊安全與負責隱私的團隊必須共同合作，保護個人資訊。

　　在數位時代，「隱私」已經成了遙遠的記憶。在網際網路、企業內部網路、電信網路或電腦裝置上，沒有所謂的隱私。我們每天的生活缺乏隱私，這是無可否認的事實。不要誤會，我只是隱私保護的擁護者。但是，現今技術的現實狀況，讓外界能輕而易舉地有機會存取與個人相關的資訊。

　　假如你在資訊科技與安全相關的領域待得夠久，而且了解我們是如何走到現在的階段，那麼你應該會相信這一點。我們需採取具體行動來保護個人隱私。郵件訊息不會自己加密；IP 位址因為某個原因是曝露的；絕對的信賴基礎架構服務供應商；資料流量被蒐集提供分析；資料查詢存取被保存、記錄與分析。而確實有技術對策，可協助保護個人隱私， 但是， 有一定複雜度。多半的狀況是，有個人會被要求比其他大部分的使用者要更深入了解技術。

　　組織中的資訊安全與負責隱私的團隊必須共同合作，以應付線上隱私問題。光是只有安全團隊憑藉著實體與邏輯上的管控，來評估系統與決定風險等級是不夠的。涉及隱私的部份也必須被列入考量。當必須處理無所不在的技術性問題時，安全與隱私部門間培養緊密的關係是必要的。

　　基本理由有2部分。首先， 當在儲存、處理或傳輸員工與客戶的個人識別資訊(PII, personally identifiable information)時，會需要額外控制保護，也許屬於系統某個類別的PII存在著風險，沒被辨識出來，但是系統的使用或操作，可能會間接地影響這類資訊。其次是，每個人對組織在進行儲存、處理流程或是傳輸他們的PII時，都有一定的信賴。當組織將他們的PII交由企業內部，或者可能由委外單位管理時，其中涉及隱私的部份，組織必須對他們善盡告知的責任。

　　當然，談到隱私問題，組織有其調和的作法。他們要確保資產有被適當地使用，還有智慧財產沒有受損害。此外，違法行為可能會導致的訴訟紛爭必須避免，以及工作時間必須適當地分配。從國家安全的角度來看，在大多數的國家，其政府會對電信基礎架構的某些特定流量進行監視；而「某些特定流量」之定義，則是由主流的政治與社會環境說了算。

　　這是經常有的事，我們這些從事IT技術與安全營運的人，忘了自己和全世界12億的網路使用人口比起來，不過是少數民族。

　　下次，你在擬定有關新的、更正安全政策宣告、安全意識教育訓練題材，或是全體員工備忘錄的時候，將組織的隱私官找來一起討論。此外，在儲存、處理或傳輸員工與客戶PII的過程中，將涉及隱私的部份一併考慮進去。同時，安全與隱私功能亦需考慮到終端用戶多種不同的背景。他們並不知道他們在網路上所面臨的威脅，只能從資訊安全與隱私政策的標題中辨識，就像從媒體所報導的一樣，我們的職責是協助同仁與客戶適當程度地了解，當他們翱遊於網路，還有使用各式各樣的電腦裝置時，資訊曝露是確實存在的。