https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

個資保護方針:識別類與行為類資訊分開存取

2011 / 01 / 03
廖珮君
個資保護方針:識別類與行為類資訊分開存取

新版個資法通過,雖然施行細則尚未出爐,但相關的討論聲浪卻未曾停歇,在日前舉辦的資通設備審驗作業暨技術研討會上,瑞百通資安公司顧問鍾榮翰表示,在 NIST SP800-122個資機密保護指引文件裡,針對隱私特定保護措施提出了以下三點建議:

         第一、個資蒐集、處理、利用最小化,沒必要的個資儘量不要搜集;

         第二、去識別類資訊,把識別類與行為類的資訊分開存取;

         第三、匿名資訊,把當事人提供的個人資料經過加工處理,變成無從識別特定當事人的資訊。

 

鍾榮翰進一步指出,個人資料類別分成兩種:識別類與非識別類(行為類),識別類的資訊包括姓名、住址、相片、電子郵件帳號、銀行帳戶號碼、信用卡號碼、護照號碼等,非識別類指的是個人行為,例如:買咖啡、搭捷運等。

 

通常,行為類資訊的重要性低於識別類資訊,企業可以用一些技術性的方法,把識別類與行為類的資訊分開存取,針對識別類資訊做較高的防護,例如:單向加解密演算法,再在兩者必須合起來的點做控制,如此一來,可以同時兼顧成本與個資保護的目的。

 

企業必須體認,個資保護與資安防護並非完全相同,鍾榮翰認為兩者有許多不同處(表1),其中最大差異在於目的不同,資安防護的目的為CIA,保護資產的機密性、完整性、與可用性,至於個資保護的目的則是保障個資機密性、不輕易外洩,企業如果只是用做資安的心態和方式來進行個資保護,很可能只是白花時間與成本,卻達不到個資保護的成效。

 

1:資安防護與個資保護的差異

 

資安防護

個資保護

保障標的

資產的價值

資料的價格

保障目標

保護資產CIA

保護個資機密性

防禦方式

縱深防禦

陣地防禦

指導原則

人人有責

避免訴訟

資料來源:鍾榮翰提供,《資安人科技網》整理,2011/1