觀點

安全無國界-全球隱私法規大哉問

2007 / 10 / 26
Jody R.Westby
安全無國界-全球隱私法規大哉問

將個人資料送離國界之前,企業必須先做好遵循一大堆隱私安全法規的心理準備。

歐盟是各國政府和企業處理隱私權方面的先驅,但若將資料委外處理,則存有複雜難懂的跨國資料流問題,並得肩負資料隱私的道義與責任。

在海外做生意的美國企業家如今面臨到一個困境:得遵守適全球性法規以保障個人資料隱私權及安全性。拿Verispan這家公司為例,該企業專門提供醫藥界相關醫療保健的資訊和服務,其資料倫理隱私部的主管Scot Ganow就說了,若按照各項法規的管理項目來做,那麼,單就蒐集世界各地醫師所提供的醫療資訊的這件事情上,將變得耗時耗力而且會困難重重。

該企業抱怨道,除了需依從歐盟所立下的隱私權法規,即資訊的取得都得經過充份的告知,並獲得醫師們的認可與同意之外,並且,他們還必須探究及遵守各個歐盟會員國所訂定的特別條例。不過,即便是獲得醫師的背書保證,當要把歐洲人的個人資料傳送到美國本土時,Verispan還是只能選擇經歐盟認可的合約條款,或者透過美國隱私權豁免原則(Safe Harbor Agreement)中自我驗證程序來當成遵從的保護機制。

「這不僅需透過層層關卡,而且整個保護程序也是相當地錯綜複雜。」Ganow在提到遵守這些隱私法規時這樣地說。

正當全球各地網際網路在線用戶量直線上升的同時,政府卻制定出一連串讓人迷惑且不一致地隱私權法規和安全條款。並且,這些支離破碎,卻高度複雜的合法通用架構,為企業們所帶來的是接連的苦惱與痛楚。事實上,限制跨國資料流的法規以及資料隱私權規定(security breach notification)的條例就是有問題的,而且也加諸了許多成本於其上。再者,它們對於企業整體的聲譽、商標、市佔率及股價的影響,都帶來了最嚴重的衝擊。

適用性隱私權及安全條款的複雜度與不一致性,正迫使企業就各國的風俗民情,針對法律面、技術面、經營面和管理面等若干問題的統整,著手研擬解決之道。

行前須知

把資料送離國界以前,企業們必須明白瞭解其所必須遵守的資料隱私和安全政策。不過,就如今的全球營運環境來看,這可真不簡單!因為將近50個國家訂有類似的資料保護法,而且這些法令當中,有許多是相衝突的,或者可能擁有獨特的安全做法。不過,其餘的國家則完全沒有隱私權相關法令。

在美國境內,超過30個州政府已經制定出資料隱私法,而幾項相類似的聯邦層級的法令則卡著等待處理。在歐盟(EU, European Union)的資料保護方針(DP Directive, Data Protection Directive)方面,它統管27個會員國(譯注1)的個人可辨識資料(PII, Personally Identifiable Information)的隱私權,影響所及還涵蓋了其他國家類似法令立法的發展。除此之外,資料保護方針針對跨國資料也有諸多限制,除了資料庫要登記註冊外,各會員國也得於境內建立資料隱私監督機構。

綜觀全球形形色色的隱私權法律,我們可以說,基本上目前主要存有三種型態的合法架構:自律的美國架構、嚴格管控的歐盟規格,最後就是亞太經合會(APEC, Asia-Pacific Economic Cooperation)的混合式隱私權架構。

歐盟的隱私保護現況

打從1995年開始,歐盟就已是各國政府和企業處理隱私權方面的先驅,其資料保護方針(DP Directive)針對不管是利用自動化處理或存放檔案系統的個人可辨識資料(PII),提供多種保護途徑以滿足所有需求。大體說來,有七項準則,條文內容其實最主要也是取自於經濟合作發展組織(OECD, Organization for Economic Co-operation and Development)的保護個人資料跨國流通及隱私權暨歐洲資料保護公約之指導綱領(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data and the Council of Europe Convention on Data Protection)。

這些準則大部份都被納進歐盟與美國在西元2000年所簽訂的隱私權豁免原則(Safe Harbor Agreement),條文如下所列:

? 當只有在需要時才能蒐集個人可辨識資料。

? 公正且合法地處理所獲取的個人資料。

? 限用於規範當中所聲明的用途。

? 確保為最新資料。

? 必要時才能保有資料。

? 當事者有權反對個人資料接受處理。

? 尚未有足夠的安全保護措施之前,不得傳遞資料至歐洲以外國家。

然而,由於會員國參差不齊的資料隱私監督機構的緣故,資料保護方針(DP Directive)的一致性可說是被削弱了不少。以西班牙的例子來看,它對於未能遵守方針當中某些特定條款的企業-絕大部份是保健和電信業者-均處以數百萬元的罰緩。同時間,歐盟還對於法令執行力鬆散的德國和奧地利展開監督行動。另外,如果歐盟近期針對個人可辨識資料(PII)的隱私權規定條例的提案要是通過的話,那麼,屆時會更加強化歐盟在監督管理上面的能力。

雖然資料保護方針(DP Directive)是意欲簡化歐盟處理國內資料流方面的條款,不過,面對離境歐盟的個人資料處理問題,它同樣在行。概括地說,除非符合下列任一條款,否則資料是無法輕易離開歐盟境內的:

? 將資料送往已接受歐洲委員會行使「恰當治理權」的國家,並且該國資料保護法提供具等同於資料保護方針(DP Directive)條款的保護力。

? 離開歐盟境內的資料,已獲得當事者清楚明白的授權及認可。

? 資料傳送方及接受方,承認資料受歐盟所認可之契約條款的支配。

? 資料受到共同約束條款(BCR, binding corporate rules)的管理,並且取得該國資料保護當局的認可。

? 資料進入美國境內必須受到美國隱私權豁免原則(Safe Harbor)的管轄(僅美國企業有選擇權)。

不過,這項跨國資料流的限制,也造成遵守法規企業最沉重的隱私權負擔。時至今日,也只有五個國家,阿根廷、加拿大、瑞士、根西島(Guernsey)和英國屬地-曼島(Isle of Man),同意接受歐洲委員會行使「恰當治理權」,並提供具等同於資料保護方針(DP Directive)條款的保護力。

另外,美國隱私權豁免原則(Safe Harbor)架構則是美國針對歐盟條款所提出的解決之道。它為美國企業在符合歐盟資料保護方針(DP Directive)法規上,扮演相當重要的角色,這樣做的目的是,可免除企業受到歐盟當局的責罰。再者,由於全美企業均受美國商務部(U.S Department of Commerce)和美國聯邦貿易委員會(Federal Trade Commission)的管轄,企業可選擇加入隱私權豁免原則程序當中,每年一次自我檢驗確定是否遵循隱私權豁免原則的七大項目。其中這些準則包含了有義務及責任保護個人資料,並針對當事人載明資料做何用途。截至去年11月,全美已有1,050家企業加入這個行列。

不過,即使Verispan公司早已是隱私權豁免原則程序中的一份子,Ganow仍表示,「到頭來,我們這些實實在在作事的企業,所面臨到的額外負擔,就是必須符合各會員國所提出的個別法規條款,難道你不認為這些事情可比遵守資料保護方針(DP Directive)方針來得困難許多嗎?」

美國隱私保護現況

美國雖然沒有像DP Directive方針那樣多用途及權力那樣大的隱私權政策,而官方也宣稱他們現行所擁有的是一個簡單的隱私權架構,不過,事實是,美國政府的隱私權架構才是世上最複雜的體系。

我們可以這麼說,雖然有著自律特性及自治管理法案,但美國還是針對不同行業別採不同的隱私權政策,以維護特定產業類別資料的安全,像是金融,醫療以及健檢方面等資訊。另外,美國政府同樣也以聯邦層級和州政府層級的法令來保護不同型態的資訊,比方說,學校學籍資料、金融保險文件、駕照資料、有線電視資料,以及信用卡資料、員工雇用資料、社會安全號碼、郵遞名冊與電話號碼等。

然而,多方保護個人資料隱私的,就屬1974年所通過的隱私權法案,也是只針對美國可取得個人資料所立的法案。此外,因為美國尚屬「一般法」的管轄範圍,所以它需擁有另一層級經過法院裁決和行政命令的隱私權法令。

再者,由於二年多前發生過ChoicePoint公司資料外洩並遭盜賣到犯罪組織的案例,所以美國各州立法加速推動隱私權相關的法令,特別是那些擁有資料隱私權規定的地區更是如此。同期間,加州也是唯一將未加密個人資料視同疏漏的一州,而到了去年11月,更是有多達33州都通過某種形式的資料隱私權規定。

有趣的是,這些所通過的法令卻沒有任何共通的特徵。有些法令是強調顧客資料的保護,要求任何資料外洩都要做到立即告知,而有些法令則著眼在「風險層面」,認為應該要依危害程度來決定告知的必要性。此外,有些法令雖適用在一般私人單位或者是州政府機關,但並非二者同時適用,而有些法令則對特定單位有豁免權,比方說,金融機構。

亞太經合(APEC)隱私權架構

美國和歐盟在隱私權政策上有如天壤之別的作法,深深地影響到美國後來對於APEC隱私權架構發展的參與。話說回來,雖然它是個可能讓APEC會員國接納的開放性架構-只因為強化重點地區對於隱私權政策運用的關係,不過它的重要性,則是在於建立了一個資料保護方針(DP Directive)以外的通用性隱私權選擇。

相較於歐盟所採取的方式,APEC架構期待將個人可辨識資料運用在商業上,並希望利用跨國界資料來互通有無,甚至是把全球性的操作-將「追日策略」(follow the sun),意即終日無休-列為營運的目標之一。另外,也運用新的科技概念,像是網格運算,讓資料處理可以多方同步進行。

因此,我們可以說這整個隱私權架構的組成,乃是融合美國和歐盟兩者之間的運作模式所混合而來的。它允許多國企業在全球營運操作上,達到對資料的蒐集、處理及轉換的一致性作業,同時,此架構也採納OECD組織的指導方針與歐盟針對個人可辨識資料的定義,並且,就資料上面的蒐集,以及資料完整性和安全性,也都是參照歐盟的指導標準。

不過,這個架構嚴格講起來是較偏向美國系統,原因在於強調各國藉由立法程序、行政程序以及自律的方式,並迴避嚴格的「特定」(opt-in)條款,以利資料蒐集的進行。此外,它同樣提供另一管道,利用資料傳送國與接收國之間的管理機構,經由企業處理或雙方合作的方式,促進遵從跨國間的決議。

當然,針對APEC整個架構的優點,我們不能過於誇大。目前看起來,最重要的事情是,APEC 21個會員國涵蓋美國、加拿大、墨西哥、祕魯、智利、俄羅斯、澳洲以及中國,其經濟圈遍及世界四大洲,代表全球1/3人口的實力,近半的全球國內生產總值(GDP, Gross Domestic Product)。事實上,我們可以這麼說,想要達到一個和諧的世界性隱私權安全政策,APEC架構可是有著絕對的影響力!

跨國衍生問題

委外業務已讓全球性及企業之間的競爭更趨白熱化,不過,這裡依然存有複雜難懂的跨國資料流問題,並且還得肩負資料隱私的道義與責任。可是,雖然企業營運功能和程序能夠委外,但是遵守法條這檔事卻完全沒有辦法!因此,委外最重要的一點,就是企業必須確保他們一點一滴所建立起來的隱私保密責任,沒有在委外的環境之中遭到破壞。

「即便大多數有如我們一般的企業,是沒有任何跨國業務的;但是多數的企業,我深信或多或少都會將部分營運功能做跨國間的委外。」Nationwide Insurance Companies公司的隱私長(Chief Privacy Officer),及相關領域法律顧問的Kirk Herath說,「就算是委外公司也同樣會將旗下的業務委外,這是無法避免的。更何況,資料也可能會被傳送到很遠的地方,途中或許受到更多的保護,或許沒有!這是我們所必須瞭解的情況,並且盡可能在委外合約上就載明這件事。」

另外,還有兩件跟委外相關的難題要處理,一是委外責任毫無充份的法律授權,另一個則是在面對需偵查合作的電腦案件時,欠缺法律強制執行面。

目前有三個主要委外輸出大國-印度、中國以及菲律賓,完全沒有任何資料隱私保護辦法。也因此,急需隱私保護的客戶資料,在毫無隱私保護的國家當中,是完全沒辦法受到法律的保障!即便是資料提供者於合約中載明資料需要受到保護,但是,由於欠缺相關法令來保障隱私權,提高了隱私外洩和其他電腦犯罪相關的問題。

不過,在委外過程當中,發生資料外洩情事還是可以訴諸法律行動的。例如,澳洲隱私權委員會就對於一家印度客服中心的資料外洩事件展開調查。同樣地,英國資訊委員會辦公室亦通報一家印度客服中心員工盜賣英國客戶金融資料,並通知相關銀行,依據英國資料保護法案(U.K. Data Protection Act)的規定,發生這些外洩事件是要遭到起訴的。

此外,在2005年11月,美國國會政府審計局(GAO, U.S. Government Accountability Office)表示處於境外的個人資料隱私的風險會提高不少,所以要有不同的提案來強化隱私權保護。這些提案包括要求企業將牽涉個人隱私資料處理的工作置於美國境內,在資料要被送離境外之際,須先告知並得到美國當地居民的同意,並且保留對境外委外業者訴訟的權利。

不過,即使在委外管轄範圍裡有這麼一個資料保護法,但是,卻無法如同美國電腦詐欺法(U.S. Comupter Fraud and Abuse Act)一般,有著涵蓋電腦犯罪以及機密資料外洩相關的法案存在。話說回來,在另一方面,許多國家同時也擁有雙重犯罪條款-只有當要求協助國及提供協助國都認定是違法的行為,那才叫作是違法!

此外,雖然電腦空間無國界,可是在法律執行上,起訴人和政府官員卻是有國界的!以我看來,反而是他們才更要摒棄國界的觀念,雖然這有點難,但在搜尋及追蹤電腦犯罪上,希望還是能多請求其他國家的協助。

事實上,如果一個國家跟其他各國訂有多邊協助條約(MLAT, Multilateral Assistance Treaty)的話,那麼,要求協助國必須經由另一國的法院填寫調查委託書提出申請。可是,在缺乏對對方司法和調查特質瞭解的情況之下,那能說得清實際上所需要的幫助是什麼呢?其實,這樣做反而讓整件事情更形複雜化。即使協助同意獲准,通常執法官員對於掌握在手中所要調查的電子證據,也是欠缺專業素養與訓練;或者,服務提供者可能也無法提供充份足夠的日誌記錄檔及完整的證據,來幫助電腦鑑識的調查!

可喜的是,藉由多邊協助解決這些問題的比率現在已經下降。因為在1997年間,G8(譯注2)共同建立一個全日無休的網路幫忙電腦犯罪的調查,根據美國司法部的統計,現在此網路共計有45個國家加入-幾乎足以影響由240個國家所串連起來的網際網路的安全。

隱私保護工作不可少

管理跨國所帶來的風險,但又能牢牢掌握住要遵守的隱私規定,著實是一件既複雜且重要的事件,為此,我們必須分析跨國資料流,勤作隱私權影響的評估,盡量能做到符合隱私及電腦犯罪法令的規範,並能於外洩事件發生之際找到幫手。

當美國隱私權豁免原則和歐盟所認可之隱私合約條款,都提供企業二種合法途徑用以處理全球性隱私法規的要求之後,再過來,就是要靠企業本身的安全處理程序來串連這些不同的因素,以管理相關跨國資料流的風險。

除了美國所頒佈的法令,像是金融服務法案(Gramm-Leach-Bliley Act)以及醫療保險可攜與責任法案(HIPAA, Health Insurance Portability and Accountability Act)之外,企業本身安全處理程序也成為聯邦貿易委員會(FTC, Federal Trade Commission)同意令之中要保護可辨識資料(PII)重要的一環。不過,它們必須要與企業組織在管理面、技術面、營運考量上謀合,並且擴及整個系統發展之生命週期,於組織發展之際將其關鍵特質納入考量。

老實說,管理程序是決定企業安全程序成敗的重要因子,它應該要做到:

? 將重要數位資產及程序整理成冊。

? 訂定企業所應遵循之法規及責任險。

? 合理範圍內,評估未來可預見之企業內外部之風險。

? 因資料機密性、完整性及可得性喪失所引起的風險損害程度,將企業網路、應用軟體和營運資訊分類分級。

管理程序能夠協助找出必要之營運控制、技術規範,並有利於推動管控政策和相關程序。此外,當我們發展像是事件回應、災難復原、企業永續經營及危機通訊計畫這些相關企業安全程序的時候,它同時也能作為一個重要的參考依據。

最末,我們可以說,測試、監控、實行、稽核、檢視和持續更新都是管好風險的重要環節,特別是用在跨國環境當中,更需多加注意。遠眺未來,隱私法要達到全球琴瑟和鳴的階段,必然要承受來自於官方與非官方的壓力,而這個進程,我想也需要經過好些年的多方溝通與協調吧!同時,奉勸企業們仍要留心注意,並緊密地監控隱私權相關風險問題。

譯注:

1.2007年1月加入的2個歐盟會員國:保加利亞、羅馬尼亞。

2.G8, the Group of Eight, 由八個國家(美國、日本、德國、法國、英國、義大利、加拿大和俄羅斯)所組成的集團。

Jody R.Westby為Global Cyber Risk LLC企業的CEO,同時兼任Carnegie Mellon CyLab實驗室的客座學者,本身亦主持美國律師協會的電腦隱私與犯罪委員會。