觀點

從管理與組織角度 一探個資法因應之道

2012 / 11 / 22
編輯部
從管理與組織角度  一探個資法因應之道

新版個資法初步預定2012101上路,隨著上路時程逼近,愈來愈多企業關注此議題,這也讓「如何因應個資法」成為本屆資安展最熱門的話題。從施行細則裡的11項安全維護措施來看,個資法因應可分成管理面與技術面,本篇先從管理與組織的角度出發,談企業如何因應個資法。

 

台灣隱私權顧問協會秘書長劉佐國提醒企業,在規劃因應之道前,必須先掌握個資法六大核心行為規定:一、明瞭個人資料的性質;二、蒐集處理利用個資的要件;三、充分認識何謂目的內或目的外利用;四、如何對當事人進行告知義務;五、重視當事人的權利;六、注意比例原則與關聯性原則。

 

建立個資管理制度  落實比取得驗證更重要

由於新版個資法要求個資保管者應盡善良管理人責任,促使許多企業思考導入個資保護管理制度作為證明,如:BS 10012ISO 29100TPIPAS…等,其中TPIPAS是經濟部商業司針對EC業者而設計,目前尚在起步階段,至於BS 10012ISO 29100的差異,TUV NORD資訊技術事業部經理陳家楨表示,BS 10012有條文準則與實作框架,唯其參考依據為英國個資法,難免會有在地化差異,而ISO 29100並非如此,其強調的是隱私防護框架,如:角色定義與指派、各角色間的作業互動、如何識別個人資料、隱私保護需求、隱私政策,以及隱私防護原則,如:取得同意、目的、蒐集限制等。

 

不過,安侯企管公司協理林義富認為,企業現階段不必急著取得驗證,根據作業流程設計個資管理制度,並加強教育訓練與落實才是重點。無獨有偶地,行政院研考會主任吳啟文也有相同看法,他表示,有沒有取得驗證並不重要,如何落實個資保護才是重點,目前政府AB級單位已經有80%取得ISMS認證,將個資保護相關作法整併至ISMS中,會是比較理想的作法,至於整併方式可分成以下4個步驟:

1.      確認現行ISMS驗證或實作範圍是否涵蓋組織內的相關個資流程;

2.      ISMS資訊資產分類分級上,依據個資屬性新增對應的次分類,如:加入包括一般個資或特種個資內容的文件或資訊類別;

3.      整合ISMS與個資項目的風險評鑑作業,讓風險評鑑產出結果一致化,以利於後續規劃因應措施;

4.      ISMS管控偏重在個資處理流程,但新法規範涵蓋個資的蒐集與利用,因此必須補強個資蒐集與利用的安控措施,以及增加事件通報的相關記錄欄位,如:是否需向社會大眾公告、影響範圍等。

 

資誠企管協理君禮進一步指出,在規劃個資保護管理制度時,除了將相關文件整併至ISMS內,還要應該注意兩件事,第一是舉證責任倒置,企業需思考如何留下證據;第二是個資法屬於告訴乃論,也就是不告不罰,若能妥善處理個資當事人的抱怨與申訴,應能大幅降低受罰機率,這是企業可以優先考慮要做好的事情。

 

呼應前述舉證責任倒置的議題,普華商務法律事務所律師蔡朝安表示,企業注意義務的舉證,應依照堆疊式路徑來做,第一層:主張已經依照法規建置管理制度與規章;第二層:主張已經落實法令相關行為建置;第三層:提出完整書面記錄;第四層:相關情境證據,主張企業已經實質落實個資保護。

 

個資盤點是法規遵循的第一步

無論企業是否要導入個資管理制度,都必須做好個資盤點這件事,如此才能明確知道自身所擁有的風險有多大。安資捷資安顧問蕭智仁表示,個資盤點應該以作業流程為基礎,並透過系統彙整盤點結果,讓盤點後的資料可以被調整、儲存與維護,進而降低企業施行個資管理的成本,最重要的是盤點前記得要對相關人員進行教育訓練,才能確保盤點結果的品質。

 

Openfind產品經理王銘賢則指出,人工盤點個資會有3個問題:耗時、員工配合度低、電子檔案不好盤點,建議企業可採用系統盤點方式,之後再配合人工訪談確認盤點結果。以OpenfindP-Marker個資盤點服務為例,只要在端點電腦安裝掃描程式,便可自動檢測是否有個資檔案,並將統計結果上傳至雲端伺服器,如:A員工電腦內有幾份個資檔案、檔案名稱及路徑,管理者只要登入雲端伺服器就能看到完整結果。

 

風險要控制?還是移轉?

上述兩種個資盤點系統雖然定位不同,一是人工盤點的輔助功具,一是可自動盤點個資的工具,但皆具備風險評鑑功能,以便企業設定風險等級並做更進一步的控制規劃,即降低或移轉風險。

 

目前市場上的資安工具,多是用來控制或降低風險,如DLP、加密等,本期文章「XXXX」有詳細說明。資拓宏宇顧問諮詢事業處協理張美月表示,無論企業導入哪一種資安解決方案,皆需建立資安管理文件規範,才能讓資安設備發揮效用,然而過往管理顧問公司與資安廠商分別獨立,通常等到管理顧問公司建置規範後,企業才導入資安解決方案,造成兩者之間無法緊密結合,這是企業必須注意的地方。

 

美亞產險金融保險部資深經理鄭智友認為,如果風險太大,企業與其進行資安投資,不如透過資料保護保險移轉風險。以美亞為例,保單設計涵蓋正式訟訴前的危機處理費用,亦即被媒體揭露或被投訴發生資料外洩情形,必須採取行動(如:事件調查、召開記者會等)所產生的費用,另外還有確認事件發生後,配合主管機關的法律調查費用、通知成本、訴訟律師費用、民事賠償金、和解金等,協助企業度過資料外洩難關。

 

網路詐騙頻傳  政府積極推動EC交易安全

新版個資法修定動機,有一部份原因在於企業未妥善保管客戶個資,導致詐騙事件頻傳,這種情況在EC產業裡更加嚴重。刑事局165反詐騙中心組長傅振原便指出,結合網路交易進行的詐騙事件愈來愈多,手法也日新月異,關於網路詐騙手法最新發展,請見本期「XXXX」文章。經濟部商業司七科科長陳威達則表示,為了提昇電子商務交易安全性,故推動資安檢測與輔導、網站身份識別機制、個資管理制度、及電子商務交易安全與資安服務平台四大輔導計劃,希望由內而外健全EC業者資安體制,進而降低個資外洩與詐騙事件發生的機率。

 

除了從EC業者本身開始強化資安體質,2uDG董事長林仲宇也提出AOTP行動憑證概念,藉由雙身份認證機制降低使用者帳號被冒用的風險。傳統動態密碼(OTP)以手機為載具,要求使用者輸入手機螢幕上顯示的動態密碼,但自從手機具備上網功能後,監聽側錄事件頻傳,連帶使得這種做法變得不安全,因此,AOTP將動態密碼顯示由手機挪到網頁上,當使用者輸入帳號密碼,網頁上便會秀出OTP,要求使用者必須以「指定手機」發送至「指定電信簡碼」,進行第二次身份確認,確保使用者身份的真實性。