新版個資法通過,雖然施行細則尚未出爐,但相關的討論聲浪卻未曾停歇,在日前舉辦的資通設備審驗作業暨技術研討會上,瑞百通資安公司顧問鍾榮翰表示,在 NIST SP800-122個資機密保護指引文件裡,針對隱私特定保護措施提出了以下三點建議:
第一、個資蒐集、處理、利用最小化,沒必要的個資儘量不要搜集;
第二、去識別類資訊,把識別類與行為類的資訊分開存取;
第三、匿名資訊,把當事人提供的個人資料經過加工處理,變成無從識別特定當事人的資訊。
鍾榮翰進一步指出,個人資料類別分成兩種:識別類與非識別類(行為類),識別類的資訊包括姓名、住址、相片、電子郵件帳號、銀行帳戶號碼、信用卡號碼、護照號碼等,非識別類指的是個人行為,例如:買咖啡、搭捷運等。
通常,行為類資訊的重要性低於識別類資訊,企業可以用一些技術性的方法,把識別類與行為類的資訊分開存取,針對識別類資訊做較高的防護,例如:單向加解密演算法,再在兩者必須合起來的點做控制,如此一來,可以同時兼顧成本與個資保護的目的。
企業必須體認,個資保護與資安防護並非完全相同,鍾榮翰認為兩者有許多不同處(表1),其中最大差異在於目的不同,資安防護的目的為CIA,保護資產的機密性、完整性、與可用性,至於個資保護的目的則是保障個資機密性、不輕易外洩,企業如果只是用做資安的心態和方式來進行個資保護,很可能只是白花時間與成本,卻達不到個資保護的成效。
表1:資安防護與個資保護的差異
|
|
資安防護
|
個資保護
|
|
保障標的
|
資產的價值
|
資料的價格
|
|
保障目標
|
保護資產CIA
|
保護個資機密性
|
|
防禦方式
|
縱深防禦
|
陣地防禦
|
|
指導原則
|
人人有責
|
避免訴訟
|
資料來源:鍾榮翰提供,《資安人科技網》整理,2011/1