個人資料保護法即將上路,這次的刑罰似乎比酒駕還要嚴重!在這個資訊氾濫的時代,到處都可以看到個人資料,不論存在於紙本上或是電腦中,而個資法同樣不管是紙本或電子檔,只要外洩就開罰,可想而知,未來企業若外洩這些個人資料,勢必得面對逼近天價的高額罰款(最高2億元),還有民事賠償外的刑事責任(最高可求刑5年),如此巨大的法律責任的確產生嚇阻效果,正所謂「重賞之下必有勇夫,重罰之下必有畏者!」台灣企業面臨個人資料保護法,任誰也不想拿自己的荷包和未來開玩笑。
然而,要找出一家公司所擁有的個資並非易事,紙本資料或許可用人工翻閱的方式,電腦中的數位資料該怎麼辦?在茫茫的數位資料海中,企業到底該如何管理才不致於誤觸個資法,相信是接下來要面臨的重大挑戰。
制定企業專用的資料保護政策,明訂資料生命週期
企業除了平時就該加強員工對於個資保護的觀念與敏感度外,更要制定一套適合公司的個人資料保護政策,讓員工可以很清楚的知道,自電腦中產出資料文件後的運作流程,且必需了解,若文件內含有個資,此份文件就應該屬於機密等級的文件,不可以再當普通文件來處理。同時,機密文件的整體運作流程,應該要遵守哪些規範,都要一一制訂出來,讓整個資料生命週期有了明確規範,這樣一來,員工們才會知道什麼時候,資料流程該怎麼走?檔案會經過哪些人處理?而這些檔案包含那些資料,文件流程又該由誰負責?全部都要一次訂定出來。
當企業制定好個資保護政策後,接下來就是盤點目前企業內所擁有的資料,找出哪些檔案有包含個資,而這些包含個資的文件,又是由誰在負責?保存方式為何?存放資料的電腦或是儲存媒體是否真的安全?電子資料是否應該放在檔案保險櫃或是做檔案加密等?這整個流程看似簡單,但其中有項最困難的工程,也就是個資盤點的部份,如果要用人工方式去找到內含個資的檔案,實在不是一件簡單的事!要如何在全公司每一台電腦中,找到有包含個資的檔案,這是一件非常浩大的工程。然而,若要降低個人隱私資料洩漏之風險,就不能逃避個資盤點的工作,在開始之前,最重要的就是定義清楚哪些是個人資料。
根據新版個人資料保護法定義,個人資料指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料皆視為個人資料。基本上若在當事人並未同意的情形下,其個人資料遭到散佈或公開時,則會形成個人隱私資料外洩。
技服中心參考中華民國個人資料保護法與NIST SP 800-122找出其中對個人隱私資料之定義,將之整合並轉換後分為10大類共40項個人隱私資料項目,作為後續網站個資檢測參考之依據,個資分類方式詳見表1。
表1、個人隱私資料分類
個資分類項目
|
內容
|
姓名
|
中、英文名子、別名。(共3項)
|
金融代碼
|
金融帳戶號碼、信用卡卡號。(共2項)
|
聯絡方式
|
居住地址、電子郵件地址、住家電話、行動電話、公司電話。(共5項)
|
個人識別碼
|
國民身分證統一編號、護照號碼。(共2項)
|
生物特徵項目
|
個人照片、指紋、聲紋、基因、筆跡。(共5項)
|
財務訊息
|
車輛登記、產權紀錄、銀行存款、借貸資訊。(共4項)
|
個人過去紀錄
|
教育資訊、工作經歷。(共2項)
|
重要特定紀錄
|
犯罪紀錄、醫療紀錄、健康檢查、病歷。(共4項)
|
社團參與
|
黨派、團體。(共2項)
|
其他
|
出生日期、出生地、種族、宗教信仰、行程紀錄、身高、體重、血型、地理標的、政治傾向、性別。(共11項)
|
資料來源:本文作者整理,2012/5
免費個資檢工具 個資盤點DIY
目前個資檢測方式有很多,可透過資安軟體或顧問協助進行,或者可上中華民國資料保護協會的網站下載免費版本:單機版個資檢測工具,方便檢測個人電腦中是否存在著機敏性的個資檔案,例如:電話、地址、手機號碼…等,程式會自動判斷數位資料中是否含有個人資料,並且在檢測結束後產生一份報表,方便使用者了解自己電腦中哪些檔案包含了個資檔案,例如:電話、地址、手機號碼…等,程式會自動判斷數位資料中是否含有個人資料,並且在檢測結束後產生一份報表,方便使用者了解自己電腦中哪些檔案包含了個資。
單機版個資檢測工具下載頁面。(本文作者提供)
一、單機版個資檢測工具的使用說明
本程式可以針對一般Office檔案,例如:Word、Excel、PowerPoint、PDF…等常見格式作個資掃描,並且針對「電話、手機、Email、身份證、地址、信用卡」等6種個資作規則掃描,以補足一般關鍵字掃描的不足,倘若使用者覺得個資檢測的欄位不夠,還可自訂關鍵字,自行增加額外的資訊查詢。
若系統找到符合掃描條件的檔案,就會認定這個檔案含有個資,並會記錄於掃描結束後自動產出的報表之中。個資檢測報表所提供的資訊如表2所示,在報表中,除了用文字說明找到的個資資訊與前後文,讓判斷更精準外,還會以圓餅圖顯示掃描結果,像是檔案類型數量分析、個資檔案比例分析、及個資種類比例分析,讓掃描結果一目了然。
表2、個資檢測報告包含了以下資訊:
概要資訊
|
系統資訊:列出此電腦相關硬體資訊。
檢測型態:列出掃描的副檔名。
檢測路徑:列出此次掃描路徑。
符合檢測條件數量:列出共幾個檔案符合查詢條件。
檢測檔案分類顯示:列出各種類型檔案,各有多少符合的數量。
|
圖表顯示
|
檔案類型數量分析:本次掃描的檔案類型比例。
個資檔案比例分析:所有檔案中有個資的比例。
個資種類比例分析:所有個資檔案的類型比例。
|
個資檔案列表
|
檔案路徑 / 包含個資 / 個資種類
F:\手冊文件\Manual.docx / 5 / 電話、Email
F:\手冊文件\MBS簡報.ppt / 0 / 無
|
個資檔案
詳細內容
|
項目:地址
內容:高雄市鼓山區
前後文:高雄市鼓山區鼓山二路xxx之x號
|
資料來源:本文作者整理,2012/5。
二、單機版個資檢測工具的使用流程與掃描步驟
使用單機版個資檢測工具的方式很簡單,先至前述網址下載軟體,解壓縮後,點選privacyagent.exe,之後就能進入個資掃描步驟,其步驟如下所示:
第一步、選擇掃描路徑:此處可勾選需檢測的目錄。
第二步、選擇掃描檔案類型:可自定需掃描檔案的類型。
第三步、加入自訂關鍵字:除了系統原本掃描的個資規則外,可另加入想掃描的關鍵字。當然,系統也提供「移除所加入的自訂關鍵字」、「清除自訂關鍵字所有資料」的功能。
第四步、啟動並取得個資掃描結果:掃描檢測完畢後會跳出視窗,可立即取得PDF檢測報告檔案。
三、單機版個資檢測工具系統規格
1.本程式免安裝,為綠色軟體,執行即可使用。
2.使用者可使用樹狀結構選取檔案或資料夾。
3.系統提供檔案格式清單,包含了常見office等相關軟體。
4.系統可針對電話、手機、Email、身份證、地址、信用卡…等資訊作掃描。
5.使用者可自定額外的掃描關鍵字,增加個資掃描的準確度。
6.系統可在掃描結束後產生精簡版與詳細版本PDF報表。
7.若需大量使用,請E-mail至service@cdpa.org.tw申請專屬帳號。又,本軟體僅供測試使用,如有商業使用需求,請利用前述E-mail與本協會聯繫。
個資掃描完畢後該怎麼處理?這的確是個好問題,這些包含個資的檔案,總不能全都刪除吧!畢竟檔案裡面不是只有個人資料,還可能包含公司營運資料,怎麼可以因為裡面有個資就把檔案刪除呢!企業能刪除的是多餘、不必要、或是用不到的個人資料,至於檔案本身既然不能刪除,那就只好進行加密。一般人對加密的概念,就是把檔案壓縮順便加個密碼就好了,沒錯,這的確是加密的一種,乍看之下也沒有什麼問題,但時日一久,人的記憶總是歲月不饒人,很可能會忘記密碼,檔案豈不是變得無法開啟,因此企業可尋找檔案加密軟體,透過安全的加密方式自動將重要資料加密保存。
單機版個資檢測工具的操作畫面。
結論
透過此工具,企業可以很方便地進行個資盤點,並配合自身資料保護政策,要求員工定時掃描電腦,從而得知該電腦中,共有哪些檔案包含了哪些個資。接下來則可以針對這些包含個資的檔案作適當處理,倘若有不合於法令而搜集來的重要個資需立即刪除,若為合法工作上之業務個資資料,則千萬要加密保存,並且定期舉辦個資與資安教育訓練,強化員工的資料護意識。
這樣一來,企業主就可算是已盡到其義務,若還是有個資外洩的情形發生,則可以證明公司已盡到防止個資外洩之義務了,如此才能有免責之機會。若是平時抱著僥倖心態,到時罰責下來,絕對不是一筆小數目。現在各個企業機關即可開始規劃公司內部的個人資料保護政策,並提供單機版個資檢測工具給員工進行自我偵測,定期確實作好個資掃描的動作,並把包含個資的檔案歸檔與加密保存,才不會讓個資保護淪為口號,也才能有效防範於未然。
隨著網際網路的快速發展,數位化產品的高度普及,使得數位資料間的流通與傳播變得快速又方便。但也因此使得數位資料的內容可以輕易地在電子產品上瀏覽、播放,絲毫不受時間、空間等因素的限制。正因如此,使得個資控管變得格外困難,因為一不小心,個人或是企業的機密個資資料,就有可能成為別人眼中正在閱讀的文件,原本的秘密也在一瞬間馬上變成公開的大眾資訊了。因此,個人資料防護越來越受到重視,為了提升個資防護等級,唯有以謹慎的態度處理個人隱私資料,並定期執行自我個資檢測,降低個資外洩之風險,才能保障個人與企業隱私。
【2013年1月21日更新】新增個資風險評鑑功能
個資盤點除了可以搭配企業(或單位)的資料保護政策外,明訂資料生命週期與個資風險,則是進行個資盤點的重點,舉例來說,一般人不可能將所有物品都放在銀行保險箱避免失竊,只會選擇貴重物品以便得到較完善的保護,企業個資保護的道理亦是如此,至於哪些為重要個資?哪些則較不敏感?就得仰賴個資盤點結果來做判斷。
考量到個資風險評鑑之重要性,現已在個資檢測報告新增「風險管理」功能,將個資風險量化成嚴重、高度、輕微以及沒有個資等4類,使用者透過個資檢測報告便能掌握每一份個資檔案的風險。至於風險等級的判斷標準,則依照個資類別與數量進行機器評分,稽核者可自行設定修改風險等級的評分與誤判標準,降低個資誤判的機率。
倘若需要進一步資料,也可點選檢視每個檔案所判別的個資內容,包含個資數量、類別與內容,使用者不用再另外開啟檔案來檢視是否需要進一步處理,可以直接從此詳細報表觀察哪些檔案是需要進一步做控管。
以下列出個資健檢報告的五大重點,供個資稽核者做為單位個資盤點之重要參考依據。
1. 風險等級
透過檢測報告的風險等級,可以快速的明瞭本次健檢是否有高風險之個資檔案。
2. 個資檔案比例
檢測報告會呈現本次掃描的檔案數量,本次掃描所發現有個資內容的數量,進而得到個資檔案的比例,透過此比例可了解本次掃描的檔案中,是否有許多的檔案含有個資。
3. 個資類別數量
即所有檔案中,個資類別的數量與圓餅圖,透過此數字可了解各種類別的外洩風險,包含台灣身分證、台灣手機、台灣電話、台灣地址、信用卡、EMAIL與自訂規則等各種類別出現的數量與總數。
4. 個資風險總表
透過檢測報告的個資風險總表,可快速的了解各個檔案的風險等級。
5. 個資詳細報表
個資詳細報表可查看每個個資檔案有多少個資數量,包含哪些個資類別與呈現哪些個資數據的完整內容。
註:《資安人》雜誌將陸續專文介紹一系列Opensource工具,本文為系列一:個資盤點工具,之後預計推出LM、DAM、WAF等主題,敬請期待。
本文作者現為中華民國資料保護協會理事長。