觀點

因應個資法系列(4) 個資盤點-個資檔案成千上萬 盤點刻不容緩

2011 / 10 / 27
廖珮君
因應個資法系列(4)  個資盤點-個資檔案成千上萬 盤點刻不容緩

「保護個資安全」是現今企業與資安圈密切討論的議題之一,然而,在思考如何規避個資外洩風險前,應該先知道自身擁有哪些個人資料檔案,如此才能界定風險大小,據此規劃出相對應的安全維護措施,更何況新版個資法的施行細則雖然還沒有正式公告,但在之前公開活動上,法務部科長黃荷婷已經提出施行細則中的幾個修正重點(詳情請見資安人科技網〈新版個資法施行細則 最快2012年上路〉一文),其中之一為訂定公務及非公務機關之適當安全維護措施,而在這11項安全措施中的第2點,就是界定個人資料範圍,顯見個資盤點是企業因應個資法的基礎。

 

企業盤點個人資料的方式有很多,最簡單的作法就是設計一份盤點表格,請全體員工依據自己手上所擁有的資料現況來填寫,關於盤點表格欄位的設計,本文之後會有詳細說明。除了自行盤點外,企業也可以委託外部顧問公司,目前坊間很多資訊顧問公司提供此服務,各家做法不同,有些建議從清查業務流程開始,像行政院國家資通安全會報技術服務中心組長黃小玲,在〈個資法及ISO 27001相通性與操概述〉一文中指出,個人資料盤點共有7個步驟:

第一步:定義組織內所有業務流程;

第二步:確認業務流程中的利害相關者,例如:客戶/使用者、組織內部員工、委外廠商、供應者;

第三步:列出為了讓業務流程順利運作所建置的資訊系統,如:備份系統;

第四步:分析上述所列的業務流程中,哪些與個人資料有關;

第五步:檢視與個資相關的業務流程,區分其為新版個資法中的一般個資或是特種個資,並檢視組織內蒐集這些個人資訊的必要性;

第六步:說明個資來源、需要蒐集個資的理由,以及蒐集方式;

第七步:說明個人資料的存在形式(如:紙本、電子檔案或資料庫欄位),以及

    名稱。

 

有些則建議從個資檔案開始,先列出個人資料檔案/文件名稱,再依序檢視其個資內容、業務流程、存在形式、蒐集方式等,NII產業發展協進會資深經理吳昭儀曾經指出,個人資料檔案清查的3個問題,可以做為此種盤點方式的參考:

1.請思考在您作業過程中是否會蒐集、處理或利用到個人資料?

2.蒐集、處理或利用個人資料之途徑與方式?

3.屬於何種性質?(例如:聯絡資料、名冊、資料庫、檔案、系統、表單、契約等)。

 

第一種方式通常在第一階段定義業務流程時,顧問就會涉入其中,第二種方式通常請員工填寫完個資盤點表格,再由顧問逐一與各個部門做詳細訪談,瞭解該部門的業務流程、搜集個資的方式與類別,並審核盤點結果正確性與完整性,由於台灣企業在個資盤點上的經驗並不多,再加上個資盤點沒有母體資料,無從比較盤點結果的完整性,使得這兩種作法很難判斷好或不好,但無論哪一種,瞭解業務流程,絕對是進行個資盤點的基本工作。

 

至於委外或自行盤點該如何選擇?RSA大中華區技術顧問黃惠美認為,大型企業個資種類多且複雜,建議交由顧問來執行,比較能兼顧效率與精確性,至於中小型企業自行盤點即可,除了由企業規模來判斷是否要將個資盤點工作委外給顧問公司,台大資訊網路組李美雯認為,還可以視個資盤點目的來決定,倘若只想知道手中有多少筆個人資料,由組織內部單位來執行就可以,但若希望根據盤點結果,進一步建立管理制度的話,就需要聘請顧問協助。

 

 

 

RSA大中華區技術顧問黃惠美認為,大型企業個資種類多且複雜,建議交由顧問來執行,比較能兼顧效率與精確性,至於中小型企業自行盤點即可。

 

鼎新電腦科技規劃部事業部經理范肇鈞認為,個資盤點其實仍根基於企業的營運程序上,個資是可能散落在營運程序的任何一個階段上,比較不能從單一資訊系統或工具的角度來看,因此在盤點過程中,仍需要組織內與特定營運流程相關的單位一併進行討論盤點(如汽車保養業的車輛保固流程、房屋仲介業的房屋鑑價流程、貨運業的商品配送流程等),找出組織內各大營運流程中正確的人來執行盤點,才是盤點是否能正確執行的關鍵。

 

 

人工盤點 VS. 工具盤點 

 

從盤點方式來看,上述所提委外或自行盤點的作法都屬於人工盤點,然而,企業在做個資盤點的時候,除了使用人工填表的方式,也可以利用系統進行自動化盤點,如:企業搜尋引擎、電子化搜尋(E-discovery)等軟體,或是資料外洩防護(Data Loss Prevention, DLP)、資料庫行為監控系統(Database Activity Monitoring, DAM)等資安工具,也提供資料盤點模組,只要設定搜尋參數,就能掃描存在於資料庫、伺服器、或網路端的個資檔案。其中,E-discoveryDAM有使用範圍的限制,E-discovery應用於已經歸檔的電子郵件或檔案,DAM則針對資料庫做盤點。

 

資策會科技法律研究所研究員蘇柏毓指出,系統自動盤點的優點在於快速、有效率,不必逐字將盤點結果輸入至電腦中,缺點則是成本高、搜尋參數不一定符合使用需求;至於人工盤點雖然比較花時間,但成本低、也可逐一檢查,比較不會有誤判或漏判的情況。對此,睿明資通首席顧問鍾榮翰有不同看法,他為人工盤點是人為主觀在做,只能靠盤點者自由心證,徜若盤點者知情不報,又沒有良好的檢驗機制,反而更容易出現誤判或漏判的情況。

 

 

睿明資通首席顧問鍾榮翰指出,人工盤點只能靠盤點者自由心證,徜若盤點者知情不報,又沒有良好的檢驗機制,反而容易出現誤判或漏判的情況。

 

人工與系統盤點各有優缺點,企業可視需求而定。若有成本考量,人工盤點是最佳選擇,如果講求快速與效率,當然選擇系統,庫柏資訊技術支援部經理黃世明指出,人工盤點個資大約要3個月到半年的時間才能完成,系統只需1~7天就可以,依資料庫規模與系統loading而定,除了效率之外,系統的好處是可以結合其他管理機制,像DLPDAM就是將個資盤點與資安防護功能整併在一起。

 

 

DLP多提供資料風險評鑑服務,可盤點企業內部所擁有的機密資料,並產出風險評鑑報表。(資料來源:McAfee提供)

 

 

人工與工具相輔相成  提昇盤點結果準確度

 

其實,人工盤點與系統盤點皆無法保證沒有漏判或誤判的情況,因此,兩者不一定只能擇一,也可以互相搭配提升盤點結果精確度,安永管理顧問資深經理李永強認為,採用自動化的個資盤點工具,對個資清查來說會更有幫助,主要效益在於驗證人工盤點結果,找到人工盤點無法發現的個人資料。

 

李永強以自身經驗為例,之前輔導某組織進行個資盤點,利用人工盤點方式清查出來的結果雖然夠嚴謹,但還是漏掉了部份資料,直到自動化工具階段才清查出來,原因在於有些資料會在不同系統間流轉,當資料從A系統拋轉到B系統時,兩邊的系統格式不一樣,中介軟體針對此部份做修改調整並另存新檔,再放在中介的媒介(資料庫)上,但這個媒介不在業務流程裡,也不在資產清冊裡,所以無法透過人工盤點找出來。

 

網擎資訊產品廖享進表示,組織內有些個人資料檔案雖然不提供外部連結,但卻放在Web伺服器上,只要利用公開搜尋引擎就能找到,之前不就常常傳出在Google上搜尋到個資檔案的新聞!這是因為網站架構大,加上管理者如果職位異動、沒有做好交接工作,新的接管人不確定哪些資料可以刪除,最保險的方式就是全部留下來,如此經年累月累積下來,單靠人工盤點很難掌握這些資料的全貌,最好還是使用自動化工具做輔助。鍾榮翰指出,工具不可能完全取代人工(或外部顧問),最好能兩者相互搭配,

由人工(或外部顧問)制定方法論和搜尋邏輯,再由工具廠商設定系統參數,從而找出散落在四處的個資。

 

工具盤點  在地化是關鍵

 

採用工具盤點個資,判讀能力是選擇重點。廖享進表示,判讀結果若要精準,就得深化識別資料的能力,避免誤判,舉例來說:在搜尋姓名時,可以結合組織內的客戶清單作為搜尋參數,或是將姓與名分開作交叉排列,只要掃描到含有這些名詞的檔案,即可被歸類為個資檔案。又如在判讀地址時,除了縣市名、街道名、及號三個詞作為判讀標準,還要搭配郵政總局在編造地址時的設定規則,假設上述3個資訊同時在一起,且前後沒有其他資訊,才可判讀為地址,如此的盤點結果才會精準。

 

 

網擎資訊產品廖享進表示,採用工具盤點個資,判讀能力是選擇重點,惟有深化識別資料的能力,才能避免誤判。

 

 

倘若盤點工具的技術不夠穩定,例如:無法精確識別檔案類型(即只要一變更副檔名就無法辨識)、內容抽取能力不足(即只能讀純文字,無法抽取圖形化檔案的內容)、支援的檔案格式有限等,就容易出現誤判的情況。此外,國外產品通常缺乏在地化規則,也很容易出現誤判的情況。

 

鍾榮翰進一步解釋,個人資料具有相當濃厚的在地化色彩,國外產品在應用上經常出現水土不服的現象。舉例來說,中西方對姓名的概念就不一樣,西方姓名通常分成「名」與「姓」2個欄位,但是中文姓名多合併在1個欄位,還有身份證字號、中文地址、銀行帳戶號碼等都有一定的編碼邏輯,與國外不同,國外產品必須要做很多在地化設計,才能適用台灣環境,然而台灣市場胃納量有限,很難吸引國外廠商投注資源做在地化變更。

 

對此,黃惠美有不同看法,她指出,外國產品雖然有在地化問題,但可藉由字典與規則設定來強化中文偵測能力,目前多數已將身份證字號的編碼邏輯內建在系統中,其他可由使用者自行設定或匯入字典,以下分別舉中文姓名、地址、電話號碼為例做說明:

(1)   中文姓名:將百家姓設為字典,規則是百家姓之後若接續2~3個中文字,即可定義為姓名個資;

(2)   地址:將縣市名稱設為字典,規則是街與號,即縣市名之後若出現街與號兩個字,則可視為地址個資;

(3)   電話號碼:將區域號碼設為字典,規則是後面接78個數字。

 

 

人工盤點  首重盤點表格設計

 

人工盤點的重點在於盤點表單設計,倘若設計的清楚完整,讓盤點者一看就知道怎麼填寫,這樣盤點出來的結果才會有用。目前,各家顧問公司或的盤點表單皆不一致,資拓宏宇協理美月建議,可參考法務部於網站上所提供的,再配合自身需求做欄目上的變化,盤點對象不一樣,盤點表格內容也會有些許差異,通常分成userIT單位兩種,user單位著重在資料保存方式,IT單位管的是資料庫或系統,因此盤點表單會著重在管理方式。蘇柏毓則認為,個資盤點表單的設計,最好能配合其他法規的要件,如:是否行告知義務、蒐集方式等,才能做比較好的法規遵循。

 

 

資拓宏宇協理美月建議,個資盤點表格可參考法務部於網站上所提供的範本,再配合自身需求做欄目上的變化。

 

使用者態度 個資盤點最大挑戰

 

就目前已經開始盤點個資的企業,及資安顧問的導入經驗來看,個資盤點最常遇到以下二個問題:

 

第一、使用者不知道如何定義個資?

什麼是個資?什麼樣的資料需要被保護,這是個資盤點常見的二大問題。蘇柏毓表示,特殊資料要納入保護管理這是無庸置疑的,但有些在日常作業中會重複出現的資料(如:名片),這些是否要被管理?如果要管理的話,就會有量大、時間久、成本高的問題,盤點者對於這類資料比較容易有疑問,不知道該如何處理。

 

在實務上,的確很難清楚地定義哪些資料要管理、哪些不要,因為法條本身就有模糊地帶,同時也牽扯到法院認知的問題,如果直接告訴盤點者XX資料要盤點、OO資料不要,未來若OO資料外洩,法官認為OO資料是個人資料、必須被保護,該如何是好?

 

蘇柏毓建議,初期做個資盤點的時候,最好先把餅畫大,只要與個資有一點關聯性的資料,就納入保護管理的範圍,除非能明顯地識別該資料不屬於個資,例如:合約上所列的公司名稱、地址和電話,或是當事人自行公開的資料,才不需要納入管理範圍裡,畢竟個資管理由大量到少量比較容易適應,但要由少量變成大量資料管理卻比較困難。

 

第二、使用者不願意配合

新版個資法通過雖已超過一年,但多數只有IT、稽核、或法務人員瞭解,內部員工在不瞭解嚴重性的情況下,加上本來就有日常業務要運作,自然不想投注多餘時間進行個資盤點,此時該怎麼解決?

 

1.教育訓練:張美月認為,教育訓練是個資盤點的基礎,除了講解個資盤點的方式,還要強調立法精神,而不是只講法條規範,讓員工理解個資法的重要性,才會願意配合盤點個資。

 

2.成立專責小組、拉高主導者的層級:個資盤點工作涵蓋組織內每一個部門,廖享進建議先成立個資安全小組,由組織內具有一定位階的人出來擔任召集人,再由其推動個資盤點工作,比較容易成功

 

3.創造盤點模範生:主導者可以觀察看哪一個部門的配合意願最高,私下與其協議,以幫忙做業績為由說服該部門配合,之後再向其他部門展示成效,從而發揮群起效尤的作用。

 

4.IT部門身先士卒、引起高層重視:

現今多為電子化作業,資訊部掌握了組織內大多數的個人資料,若由資訊部開始進行個資盤點工作,檢視系統或資料庫內有多少筆個資檔案,再配合法規罰責計算外洩風險,並呈上予決策高層知曉,也是另一種引起高層重視的方法。

 

 

結論

 

就像零售業到了年末都會盤點商品庫存一樣,個資盤點亦復如此,它不是只做一次就好,而必須定期更新,因為企業業務會更新、型態會改變,個資搜集只會愈來愈多,所以要定期盤點個資,至於頻率可能半年或1年,或是配合內部稽核舉行時間、新業務上線、法規更動的時候,就進行一次個資盤點,才能維持資料正確性。

 

新版個資法已經通過,施行細則正在上路中,新版個資法對企業造成許多衝擊,雖然施行細則尚未公告,但相關的法規遵循動作可以現在就開始,尤其個資盤點耗時費力,需要動用組織很多的人力與時間,因此,無論公務或非公務機關都不能再以施行細則未公佈作為拖延藉口,愈早開始進行個資盤點,後續的風險排除與因應策略才會愈完整。