個資保護法自三讀通過以來,帶給各界不少爭論,而施行時程的確立,則好比投下一顆震撼彈,讓相關人員上緊發條,加速組織內部個資盤點及控管的步調,正當各單位如火如荼推動個資保護措施之際,國內教育體系是否也已有所因應,準備好了嗎?
教育單位的衝擊與挑戰
目前台灣有4,000多所學校,2012年學測報名人數超過15萬,國中應屆畢業生有31萬之多,各級學校擁有在校、歷年畢業學生個資,加上家長、教職人員等,其資料量相當龐大,而學籍資料又依法需永久保存,故各校面對個資法的施行,承受的壓力與一般公司行號相比有過之而無不及,若撇開人力、資源上的限制,教育單位還須應付下述之挑戰:
- 適用的管控流程:因應個資法,業界已有相當成熟、完善的方法論,並搭配各式的軟硬體設施,但學校在個資上的應用較為單純,不能相提並論,且高中職校以下缺乏專任資訊人員,業務多由資訊教師兼任,欲發展適性的管控機制恐也力不從心。此外,除個資法外,其他與個資處理相關的法源依據,也需要重新整理與判讀,譬如特種個資中的健康檢查資料,在學校衛生法內便規定學校可保存相關結果,但需隨學籍轉移;各校如何在個資法正式施行前,制訂出符合業務屬性與需求的管控機制,顯然是一大課題,面對逐漸逼近的時程,其挑戰也隨之增大。
- 全範圍的施行:個資法不限範圍、不分對象;在國中小學校,資訊教師如何協助一般教師具備個資防護的認知?在大專院校,計算機與網路中心如何引導系所單位承擔個資管控的責任?類似的問題正逐漸發酵中!由於過去資安的責任多落在特定單位、少數人身上,但面對牽涉資安議題的個資法,迅速將觀念、知識擴散至非資訊人員與使用者身上,建立「握有個資就擁有責任」的共識,也是另外一項重要的任務。
看似單純的教學場域,與個資關連的業務、程序仍有其複雜的一面,日常班級經營的行為,若缺乏一套合適的個資管控程序,就可能造成教師、學生、家長無意間違反個資法的風險。面對接踵而來的問題與挑戰,教育體系到底該如何處理?
教育體系防洩漏個資掃瞄平台 免費檢測網站有無個資
為盡早協助各級學校著手個資議題,教育部委由成大資通安全研發中心建置「教育機構防洩漏個資掃瞄平台」,在2011年下半完成建置,並陸續移轉至各區域網路中心、縣市教育網路中心等共29處營運點,提供教育單位網站個資掃描服務。此服務機制主要針對各校網站之開放頁面(即無須身份驗證之頁面),進行頁面內容之判讀,分析其中符合個人資料特徵的資訊,並彙整出完整報告,以便學校掌握網站洩漏個資的狀況並進行移除動作。
教育單位防洩漏個資掃瞄平台。(資料來源:本文作者提供)
只要是教育單位且所屬網路中心有架設掃瞄平台,就能依據既定的申請程序,進行指定網站個資掃描;目前可掃描的個資類別包括身份證、信用卡、室內電話、手機號碼、地址與E-mail等,而為彌補上述個資類別的不足,另設計自訂關鍵字功能,讓使用者可以自行訂定欲搜尋的特定字串。此外,今年度再開發定期掃描及白名單(即忽略使用者指定之特定字串)功能,以滿足各教育單位的需求。
平台目前可分析包括網頁(html、htm、php、asp、aspx、jsp)、文書處理文件(pdf、doc、docx、xls、xlsx、ppt、pptx、txt)等常用檔案格式,掃描結果將以圖表模式呈現該網站個資資訊的類別分佈狀況,並區隔為高、中、低三種風險,供使用者在第一時間進行判斷。不過,平台分析結果仍須仰賴人工判讀,以正確辨別是否有個資洩漏之虞,因為網站中經常存在「必須揭露」的個資,例如學校地址、辦公室電話、承辦人E-mail等業務資訊,這部份都會被平台視為個資洩漏情事之一。
個資掃描結果畫面。(資料來源:本文作者提供)
各校可將此掃瞄平台視為個資盤點的工具之一,盡早移除單位網站中可能涉及個資洩漏之資訊,以維護自身和當事人權益;未來可持續配合個人資料保護法及行政主管單位的個資防護政策,依循各項施行的指引與規範,定期申請掃描服務,落實個資保護。
教育單位網站洩露個資 手機號碼為最大宗
為推廣個資保護的觀念,本中心除完成掃瞄平台開發與移轉作業,亦持續協助各縣(市)辦理平台使用與個資防護教育訓練,並以各校主網站為對象進行個資掃描,以瞭解教育單位網站個資洩漏的狀況及特性。
截至目前為止,在已經完成的掃描結果中(且經人工判讀確認),各級學校主網站大多皆有部份程度的個資洩漏狀況,顯見教育單位在個資法正式施行前,仍有相當大的努力空間。若就個資洩漏的類別來看(圖1),以手機號碼為最大宗,占了一半的比例,而個人E-mail帳號佔了30%,至於身份證字號則有8%,雖然尚未見到信用卡號碼洩漏的案例,但透過關鍵字設定「帳號」字串的方式,也曾出現找到金融帳號的零星個案。
圖1、教育單位主網站的個資洩漏狀況
註:掃描對象為各級教育單位主網站
資料來源:本文作者整理,2012/7。
這些比例僅能呈現目前各級學校在主網站的個資洩漏狀況,不包括其他可能含有大量個資的網站,例如班級網站、部落格等,教育單位確實需要加緊腳步,優先處理這類可供公眾查閱的頁面,以避免觸法。事實上,從掃描過程中,不難發現個資防護的觀念已在各校逐漸萌芽,在所有發現單位主網站含個資洩漏風險的案例中,超過8成比例為2年前的舊資料,2011~2012年的資訊相較少了許多,因此各校若能盡速移除這些舊檔案,就能大幅度降低網站於開放頁面洩漏個資的風險。
教育單位個資保護3大建議
教育單位的業務較為單純,也正因為如此,面對法律層面的議題,一時間很難迅速反應,隨著個資法上路時程逐漸接近,除了仰賴相關主管機關提供必要的指引與方針外,各校還是得加快步伐,著手個資保護的相關措施。
除了利用掃瞄平台管控網站個資外,也可以朝以下方向努力:
- 建立適合的管理程序與防護機制:
學校不如商場環境,倘若急就章地採用符合業界需求的解決之道,很可能造成事倍功半的反效果,善用既有法律授予的權力,整合必要的個資蒐集途徑,再依據教學的實際需求,訂定適性的管控措施,規範個資處理、利用之作為,如此才能真正落實個資保護。此外,個資盤點固然重要,更應思考個資去識別化的適切性,在不影響教學和保障學生權益的情形下,無須過度解釋個資法條,導致因噎廢食的結果。
- 觀念建立與責任分散:
現階段之所以見個資而心慌慌,除了因為相關管理機制的缺乏外,未建立正確個資保護的觀念也是原因之一,這部份還是得仰賴教育訓練的方式,讓教職員與學生養成良好的習慣與認知。至於分散責任有兩層意涵,一部分是「有個資就有責任」的概念,另一方面則因為個資法適用到所有範圍,包括學生、家長、及教師的個資都是保護對象,所以不可能單靠資訊教師的力量,行政處室、系所、一般教師、教授乃至於學生,都需投入個資防護網,才能真正保障所有人的權益。
- 定期的檢視與檢討:
個資保護已經從技術、管理議題,提升到法律層次,而常見的管理系統多抱持精益求精的宗旨、強調個資保護循環的概念,單一事件可以是進步的關鍵。然而面對個資法,一次的駭客入侵事件可能導致天文數字的賠償,再無從跌倒處爬起的機會;因此,單位必須採取主動、積極的檢視和檢討,徹底降低事件發生的機率,這才是關鍵中的關鍵。
上述幾點建議,其實各行業都適用,但身處教學場域,就不得不思考「教育」的本質。商場上,組織可能無須負擔教育顧客的責任,但在學校裡,這卻是每天必需要執行的責任,當學校、教師因為個資法而關切自身權益的同時,若學生間也發生洩漏個資的紛爭,試問校方又如何能置身事外?所以,在教育教師的同時,也需要培養學生具備同等認知,調整新世代幾乎無遮攔的網路習慣,這也是個資法帶給教育單位另一深層的思考。
本文作者現任職於資安研究中心,如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。