個資保護方針：識別類與行為類資訊分開存取

新版個資法通過，雖然施行細則尚未出爐，但相關的討論聲浪卻未曾停歇，在日前舉辦的資通設備審驗作業暨技術研討會上，瑞百通資安公司顧問鍾榮翰表示，在 NIST SP800-122個資機密保護指引文件裡，針對隱私特定保護措施提出了以下三點建議：

         第一、個資蒐集、處理、利用最小化，沒必要的個資儘量不要搜集；

         第二、去識別類資訊，把識別類與行為類的資訊分開存取；

         第三、匿名資訊，把當事人提供的個人資料經過加工處理，變成無從識別特定當事人的資訊。

鍾榮翰進一步指出，個人資料類別分成兩種：識別類與非識別類（行為類），識別類的資訊包括姓名、住址、相片、電子郵件帳號、銀行帳戶號碼、信用卡號碼、護照號碼等，非識別類指的是個人行為，例如：買咖啡、搭捷運等。

通常，行為類資訊的重要性低於識別類資訊，企業可以用一些技術性的方法，把識別類與行為類的資訊分開存取，針對識別類資訊做較高的防護，例如：單向加解密演算法，再在兩者必須合起來的點做控制，如此一來，可以同時兼顧成本與個資保護的目的。

企業必須體認，個資保護與資安防護並非完全相同，鍾榮翰認為兩者有許多不同處（表1），其中最大差異在於目的不同，資安防護的目的為CIA，保護資產的機密性、完整性、與可用性，至於個資保護的目的則是保障個資機密性、不輕易外洩，企業如果只是用做資安的心態和方式來進行個資保護，很可能只是白花時間與成本，卻達不到個資保護的成效。

表1：資安防護與個資保護的差異

資料來源：鍾榮翰提供，《資安人科技網》整理，2011/1