個資法修法去年三讀通過,施行細則草案也已於日前發布了,面對琳瑯滿目的解決方案,我們到底該如何看待呢?
台灣產業型態以中小企業為主,特色就是各個企業所運作的模式不盡相同,根據實務上的企業服務經驗,發現有不少的企業都有所謂的獨特性,無法一言以蔽之,沒有任何一種解決方案或方式可以保證安全無虞。因此在個資法的因應上,筆者會建議回到本質去思考,推行上會相對的直接與單純。「對企業而言,保護好企業中所蘊含的員工資料或是客戶資料,不就是本來該盡的義務與責任嗎?」如果您認同這句話,保護個人資料成為企業文化的一環,那麼個資法通過,只是將企業本來就該做好的事情,變成有法律與條文式的規定,在組織內推動個資保護也會相對變得合情合理了。
真要等到施行細則公告後 才能有所作為嗎?
個資法通過後,多數企業的因應方式就是,等待施行細則發布後再來規劃,但,真的一定要看到施行細則才能做個資保護嗎?施行細則已於日前公布,您看了後就知道該怎麼做了嗎?對特定的產業、特定領域而言,等待施行細則公布或許有其必要性,但大多數的企業其實可以先啟動個資保護相關作為。
舉個生活案例來說,大家都知道行人過馬路要穿越行人穿越道、開車要靠右側開、酒後不能駕車、並要看紅綠燈標誌等等交通上的必然項目。換言之,不管有沒有「道路交通管理處罰條例」強制要求,以上都是需要遵守的大原則,再回頭請問,需要等到交通規則的「施行細則」出來說:靠右邊走要靠到幾公尺幾公分,我們才知道要靠邊走嗎?需要施行細則來告訴我們,開車穿越馬路要禮讓行動不便的年長朋友,才知道要禮讓嗎?聰明如您,應該可以了解筆者想要表達的態度。
個資法修法,只是將原本只有某些人要遵守的一些「交通規則」,修正成為所有用路人都適用的強制要求,很多大原則其實是很早就確定的。有關個資保護大態度、大原則、本就該做的事,尤其是對應到本法都訂好的部分,是不是早就該開始做了?!
規劃個資保護作為 應以支撐營運流程為前提
個資法的因應,在筆者公司本身的推動過程,以及對多家企業的服務經驗中,事實上是相當辛苦與不容易,畢竟大多數的企業是以營利/營運為目標,對於本應該進行妥善管理的個資保護,通常都是疏於管理。一旦要執行個資安全防護相關計畫,或是將流程優化修正,對於營運流程說沒有衝擊是不可能的,從自身執行經驗來看,這部分往往都會有來自業務、行銷等各方面的阻礙。
對一般的企業而言,想要推動好個資保護,重要前提就是讓個資保護整合企業營運流程,亦即建立以支撐營運流程為前提的個資保護主軸,方有可能成功推動。以汽車保養廠來說,不管保養廠怎麼變更,人員怎麼異動,技師服務怎麼分工,總是會有進場、估價、維修保養、車輛領回等主要流程,再從中進行個資盤點、經手人員與權限管控、對應風險評估等等,對企業而言方為在最小衝擊下將個資保護最大化的不二法門。
以下將從自身幾年ISMS與自身公司個資保護因應實務經驗著手,整理六大原則性作法,提供給企業實作時參考:
-依營運流程為主軸盤點資料,找出資料之所在
-以達成營運目標為目的,將資源集中,流程最簡化
-以企業營運影響最小化為原則,適度加強管控(僅知、僅用原則)
-管控機制實務運行有困難時,輔以補償性措施
-全員訓練個資保護意識建立
-內外合約審定修正
企業因應個資法實務作法,還可參考「因應個資法-鼎新現階段因應做法分享」一文。依筆者經驗來看,企業的個資盤點作為,應基於營運流程為主來出發,此種方式是對營運之衝擊最小、相對省力又能達到個資盤點相關基本該有需求程度,對需要進行個資保護的台灣絕大多數企業來說應是整體實務上最佳的做法。
因應個資法八大步驟
整體建議作法如圖1,可一路從營運流程展開到個資項目、相關人員與權限、風險項目等等,進而發展出對應作為,分述如下:
圖1、因應個資法八大步驟
資料來源:本文作者整理,2011/10
一、流程相關成員(找出對的人)
既然我們的目的是要將個資保護建構在支撐營運流程的基礎上,就必須要找到「對的人」來制定相關營運流程,並能互相激盪討論與互動,因此除了個資保護小組的成員制定外,最重要的就是要找出適當的流程相關人員,以利後續制定流程中個資細節時,可得到最正確的資訊。
二、列出營運流程總表與對應的個資項目
企業在營運上必然會有相對重要的營運流程,比方流通買賣業在銷售上相當常見的「門市銷售流程」與「網路銷售流程」均為常見的必要營運流程,也必然為企業營運之主軸。因此企業必須要先盤出營運上的主要流程,將其放入營運流程總表之中,並找出現行做法中所蘊含或使用的個資項目有哪些,在此過程中,流程相關人員就可以藉機了解企業到底有哪些主要的營運流程,進而思考企業是否過度蒐集太多的個人資料。
三、描繪營運流程圖 確立企業核心營運流程步驟
許多企業在營運上缺乏標準作業流程(SOP),並未能妥善將自身營運流程以Step by Step方式清楚定義(如圖2),事實上這在企業運作上是危險的,幾乎可說是由經驗與口語傳承做事方法,若執行或承辦人員作法、意念或是組成上稍有變更,企業之營運流程也會隨之不穩定,這對企業營運上也是必然的大風險。因此企業在因應個資保護前,必須要先把公司內相關營運流程標準化為文件與流程圖,並在其中討論各步驟是否合理與適切,進可利用此流程進行個資保護後續管理依據,退也可以討論自身原本之營運流程是否適當、合理與最佳化。
圖2、企業營運流程圖。(資料來源:本文作者整理,2011/10。)
四、展開營運流程 找出各步驟中資料使用者
當營運流程與作業步驟確定之後,進一步要做的是,討論各個營運流程、步驟中,各有多少人員接觸到相關的資料(如表1),此階段主要目的就是,盤點企業內部或外部究竟有多少人員應該跟該營運流程階段相關,藉此思考有權接觸敏感資訊的人是否過多,畢竟越多人碰觸到的資訊,其遭受威脅的機率也是相對大幅上升,因此找出各步驟中相關人員是必須的。
表1、資料使用權限盤點表
(資料來源:本文作者整理,2011/10。)
五、根據營運流程步驟 逐一列出對應個資型態
個人資料存在企業內的型態無非三種,分別是紙本文件、電子式檔案、系統與資料庫,流程相關成員根據營運流程步驟進行討論,將個資型態加以分類並列出,每一個流程階段會有什麼樣的個資逐條陳列(如表2),並藉此定義出組織內文件之名稱,避免功能相同的個資文件,卻有多種過於發散或不同的名稱,更能進一步降低管理成本。
表2、資料使用權限盤點表
(資料來源:本文作者整理,2011/10。)
六、展開個資型態細部資訊
上個階段我們整理出三種個資型態,接下來就要將個資型態加以展開,分別列出實體文件、電子式檔案、系統與資料庫三種個資型態的細部資訊,除了針對各個個資型態進行細部描述外,並討論在此步驟中的人員具備多少權限,其中的討論目的就是在找出使用狀況,究竟有多少部分是違反Need to Know、Need to Use兩大原則,再者也可讓企業真正了解個資存放之處等相關資訊。
七、羅列營運流程中可能的風險項目
蒐集了以上各種資訊後,已經可以了解到各個營運流程階段中所含有的資訊,也可以由營運中之相關關鍵因素找出主要風險,亦可透過流程內相關人員討論或輔以顧問協助,找出企業在各步驟可能面臨之風險,此時將營運流程各階段可能遇到的主要風險,透過魚骨圖(Fishbone Diagram)或腦力激盪法(Brainstorming)等方式加以整理陳述,即可初步揭露主要且必須要因應之風險。
八、規劃與評估因應個資風險之解決方案
在陳述條列風險之後,接著就可以討論因應作法,先羅列企業現階段控制措施,再評估後續該有哪些補償性措施。如此才能真正描繪出企業的需求面相,再據此評估是否採用對應之解決方案,如此方可降低錯誤投資的機率,進而達到在符合企業營運目的之需求前提下,滿足個資保護最大化的目的。
上述八大步驟均是以企業營運流程為主軸進行,因此對企業之營運衝擊可降低至最小,成功關鍵還是在於企業能否找出真正對的人來執行與討論,指定負責PM,由專案管理角度來調度適當資源執行(尤其是調度到企業內適當的人力資源),將是能否有效益的關鍵。最後,在風險因應的呈現方法上,必須捨棄一般企業難以執行的風險評鑑方式,以較易理解執行且具備一定效益之腦力激盪與討論方式,掌握80/20法則,務求個資保護在有限資源內可以取得最大化的效果。
個資保護 開始動手做就對了
企業面對個資法衝擊,無非積極與消極兩種應對態度:
-積極應對:
–客戶信任企業進而交付個資,本就應盡保護義務與責任
–員工是企業最重要資產,企業對做好員工個資的妥善保護責無旁貸
-消極應對:
–如何防止被告與處罰
只有由消極轉積極、化被動為主動地因應新法,才能將個資保護在有限資源內做到最佳化。企業因應個資法,就像是學生面對申論題考卷一樣,學生不知道出題或改題目的老師是誰,也無法掌握出題題型與方向,卻可以掌握自己的學習態度,擬定讀書計畫、上課認真、勤作筆記、互動發問與討論等等,這不就是學生本該盡的責任嗎?要討論考試考60分夠不夠還是80分才會及格,不如先問問自己已經做了多少?企業對於個資保護應盡的責任,道理亦同。如果您至今還沒開始啟動,希望此文可以減少您的摸索時間並強化執行的決心,個資保護,開始動手做就對了!
(本文作者為資訊服務廠商資訊安全規劃經理。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com)