個資法上路一年,回顧雖然未見到驚人的訴訟、天價的求償,但是幾乎每周在各大媒體都有些許版面,或是個資洩露、或是誤用。最近也看到民眾對於自身個資權利意識的高漲,某學校徵選教師,要求蒐集配偶的資料遭到該候選教師的拒絕並向媒體投訴。過去申辦信用卡要填寫的『非同住聯絡人資訊』悄悄的消失在信用卡申請書中。廣告的電話沒有消失,但是減少了,跨業合作的行銷電話也減少了。筆者個人觀察,隨著民眾的意識抬頭,企業對於個人資料的保護與利用也需要加強。個資保護的強化,依照過去解決資訊安全問題的經驗,導入解決方案跟管理制度似乎是企業最直覺的反應,但對應到個資法的因應,可能還要多方面的考慮。
企業在導入解決方案跟管理制度前,往往對於自己個人資料保護的問題、應採取哪些保護措施的優先急迫性、防禦對象均不清楚。根據國際資安公司的調查,2012年1~8月資料洩漏的案件中 40.6% 來自駭客攻擊,但 48.2% 來自內部人員疏失,個人資料的保護,防禦對象不只是駭客攻擊,內部的程序、人員、合法使用者均成為個資保護管理的主要標的。在資安及個人資料的管理,解決方案又稱技術解、管理系統導入稱為管理解,兩者在因應個人資料的保護上各有其適用性及強度,但無論企業心中盤算的是導入哪一個解法,在導入之前,最重要的是確認問題。以下是幾個該確認及執行的建議:
一、 安全檢查:
最近半年的網站洩漏個資案件,無論公司規模大小,大約還有3到4成是SQL Injection、XSS或以不安全方式傳遞值的問題。筆者訪談這些出問題的業者,多半不清楚問題發生的真正原因,還有一些業者出問題時仍使用存在已知安全漏洞的技術或作業系統。因此,導入技術機制或管理制度前,首要的建議是企業先做一次資安檢查、弱點掃描、源碼檢測等機制,確保了解自己的弱點及漏洞,這些檢查遠比導入解決方案來得便宜,但是先確認問題點,再導入適當機制才是正確的解法。
二、 透過個資盤點來了解風險與減少風險:
個人資料的風險來自蒐集資料種類、數量、現有保護措施的強弱等因素。另外,資料是否有可利用性也直接影響了非法利用及竊取者的動機。企業可以藉由進行個資盤點,了解目前企業蒐集個人資料的數量、種類,進一步去考量已蒐集的個資欄位對企業價值與作業的必須性。例如:問卷作業需要蒐集聯絡方式嗎?同仁電腦需要存放大量歷史交易資料嗎?日常作業中使用的頻率高嗎?客服人員需要看到完整客戶資料才能進行客戶服務嗎?交易授權後系統需要存放完整卡號嗎?
某大入口網站,在因應個資法前,註冊成為會員,需要填入姓名、地址、電話…等各式各樣20 種個人資料。經過仔細評估後,只有email是必須、常用的。因此改變作業後僅蒐集 email欄位,風險隨即降低,自然不需要後續的技術解及管理解。另外,過去人事單位常常將未錄取者的資料保留在公司自有的人事資料庫(或是Excel 檔案中),但後來發現,再利用率極低,因此也沒有保留的必要。除了上述問題,企業在報支個人勞務所得時,非得要蒐集身分證影印本才能完成作業嗎?現在有許多公司的會計實施「驗證不存證」的措施一年餘,並未發生任何阻礙作業的問題。
三、 透過流程盤點進行適法性檢查:
個資法是法律問題,違法的作業應最先被改善,企業應確認目前資料管理的作業是否合於個資法。例如教師甄選並無合理理由蒐集其配偶資料,因此蒐集該資料就不符合個資法的規定,企業/組織應該立即改變該作業的蒐集項目或向當事人說明蒐集的理由。流程的盤點是透過檢視個人資料生命週期,自蒐集、處理、利用、資料歸檔、到刪除的作業流程來確認合法性的一種做法,盤點內容包括:
1. 清查每一個流程是否合於法律要求,例如蒐集時是否已進行告知,是否有取得當事人同意或有契約關係證明蒐集該資訊是合法的?
2. 清查每一個流程是否有事後舉證能力,例如當事人的書面同意完成的證明方式,告知內容是否留存?是否能於事後重現證明?
3. 清查每一個流程中是否產生多餘不必要的個人資料,例如申辦會員資格作業,請客戶傳真或email的身分證影印本,在處理過程中或結束後是否被妥善保護?
藉由流程的盤點,可以了解作業中的問題、弱點及可能發生的錯誤,後續導入的解決方案及管理制度才能依發現點對症下藥。
四、 可歸責性的建立:
個人資料洩漏事件約有一半源自內部人員,員工共用系統帳號、資料或紙本資料未指定保管人,網路硬碟、公共區域存放大量個人資料,系統過於寬鬆的存取權限設定等等,都造成管理上因無法歸咎責性而產生漏洞,因此讓蓄意竊取者有機可乘或產生疏失時無可追溯原因。企業的文化或作業流程如果無法支持可歸責性,導入解決方案,通常也不見有其成效。
五、 了解企業業務的特性:
實施技術解前應該先了解企業的特性。某單位實施DLP(防制資料外洩的系統),卻因為設定關鍵詞而攔阻了寄給客戶的重要信件因此造成業務損失。所以在導入技術解決方案前,企業應該先了解自己的作業特性,再考慮採用何種技術機制。了解組織現有的管理方式、設備及人員特性也相當重要,企業是否有遠端存取需求?人員是否需要使用移動式設備?USB、網路硬碟、Web mail 等工具是不是作業所必須?這些特性或機制的使用都會影響後續解決方案及管理制度的有效性。
綜上所述,個人資料保護確實需要仰賴導入技術解決方案與管理制度的搭配來達到保護目的,在導入前最重要的是發現企業的風險、問題與個資保護的需求。安全檢查、流程檢查,可協助企業了解技術上的弱點及管理上的問題,導引技術及管理機制針對問題來解決,接著再透過風險的評估比較,產出導入的順序以協助企業配置預算及解決方式。個資盤點先清查個資,再考量減量或減少欄位、改變作業作法及保護方式,可以在導入技術機制或管理機制前先行降低一些風險。
除了在技術與管理制度上要有可歸責性外,企業文化、責任分配跟制度設計亦扮演重要的角色。常見企業導入了存取控管機制,但是企業的文化形成大家對於責任不明確、帳號在導入機制後還是共用,造成機制導入卻無實質的效益。
企業的特性、組織的結構及業務的特性常是大家在選擇解決方案時,考慮不夠深入的部分,往往在技術機制及管理機制導入後,才發現與現有業務的特性、人員作業方式不符合而作罷。無論是攔阻型、側錄型、或在管理制度中的核准、審查機制,都必須適合現有的業務、組織特性,否則導入不但沒有增強保護,反造成業務執行的困難,造成企業有形及無形的損失。
回到法律的觀點,企業一定要在確定作業合法後再導入管理制度,因為管理制度雖可以讓作業安全持續有效,但如果作業行為本身違法未被發覺,導入管理制度反而讓企業持續違法。透過流程的盤點,比對作業中的行為與法律的要求,先做到合法,再導入管理制度才是正確的路徑。
本文作者具資安稽核、輔導經驗