https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

台灣隱私權顧問協會的成立與願景

2007 / 12 / 20
編輯部
台灣隱私權顧問協會的成立與願景

隱私權概念興起 民主國家的表徵
台灣隱私權顧問協會創辦人邱月香女士15年前於美國居住,當時就發現在美國的政府或人民就非常重視個人隱私權,也就是說對於個人之人格權的尊重,回到台灣後,又因緣巧合受人權協會邀請代表台灣前往里約參加國際人權協會會議,會議中又強烈感受國際上對於個人隱私權的重視,並強調開發中國家的政府應制訂及執行國家賠償及隱私權相關之法律,來保障人民的權利,由此可見,國際上的民主國家對於人民的人格權、隱私權或個人資料保護已相當重視。

邱月香女士回國後,即向政府相關單位建言推廣國家賠償法,經過不斷努力,人民逐漸瞭解公務員於執行職務行使公權力時,因故意或過失不法侵害人民自由或權利者,國家應負損害賠償責任,或因公有公共設施因設置或管理有欠缺,致人民生命、身體或財產受損害者,國家也應負損害賠償責任。但是關於隱私權卻只見法律,而未見政府相關推行的實際作為。



借鏡國外成功經驗及隱私權協會成立緣由
因邱女士回國後從事資訊安全的推廣,於資訊安全推廣工作中發現政府的法律、要點、規範及國家標準中,皆可發現對於個人資料保護的要求及重視,但卻都沒有看到相關的整體配套措施。經過深入瞭解後發現政府雖然重視個人資料保護,但是如何實施以符合法律要求,卻不知如何下手或從何下手。

有鑑於台灣個人資料外洩的事件層出不窮,詐騙電話及行銷電話已經讓台灣的人民不堪其擾,政府機關及民間機構不斷的傳出資料外洩的情況下,讓邱女士下定決心,決定投入隱私權的相關工作,為台灣人民爭取個人隱私的基本權力。

國際上推廣隱私權最不遺餘力的國家為歐盟各國,其中以英國、德國等國家推行的較為徹底,而最早推行隱私權的組織為經濟合作暨發展組織(OECD),其中亞洲的會員之一日本,不但非常重視也推行的非常好。基於亞洲民族特性及地理考量,日本應可成為我們參考的對象,因此透過台灣的日本科技大使的介紹,前往日本拜訪其民間隱私權協會,瞭解日本政府推行隱私權的狀況及民間機構如何協助政府共同推行。拜訪期間瞭解到除了日本政府強烈的決心外,民間協會同步引進美國隱私權的經驗,協助政府進行隱私權的相關教育訓練,訓練政府機關及民間機構有從事個人隱私業務的相關人員,發予顧問師執照,更發現政府除了頒布隱私權相關法律、行政命令、指導外,更參考國際上管理程序的標準,由日本財經省委託日本情報處理開發協會制訂了一套隱私權的國家工業標準「JIS Q 15001」,提供政府與民間執行個人資料保護的一個參考依據。

邱女士從日本回國後,深切瞭解必須由民間與政府一起共同來推動隱私權,因此立刻著手號召資訊安全同業共襄盛舉成立台灣隱私權顧問協會,經過八個月的努力,「社團法人台灣隱私權顧問協會」終於在民國96年8月3日正式成立,目的事業主管機關為法務部。第一屆理事長由關貿網路股份有限公司總經理陳振楠博士擔任,陳理事長在台灣推動資訊及資訊安全產業不遺餘力,多年來不但在台灣成效卓著,更將台灣資訊及資訊安全成功的經驗推向國際。由陳理事長豐富的經驗及睿智的思維帶領協會,協助政府共同推行隱私權,保障人民的基本權力,更提升台灣對外的競爭力,建立台灣於國際上重視隱私權形象。



運作方式
政府與民間齊力推動穩私權 號召同業共襄盛舉

推動隱私權相關業務事情繁重,更需要同業共襄盛舉一起努力,因此陳理事長目前正積極邀請國內規模較大,且重視隱私權的各類代表性的公司加入本協會團體會員,讓協會的觸角更能夠伸展開來,藉由團體會員本身先做起,再影響其相關業務相關的經銷業者一同推廣。

整個隱私權推動的關鍵仍在於政府機關,以國外推行成功的國家為例,皆有專職的政府推行機構來推行隱私權業務,反觀國內卻沒有相關的單位,鑑於政府組織改造的規劃,成立專職機構有其一定的困難度,因此陳理事長於團體會員招募後的第一要務即是可以結合政府相關單位共同來推行,包括法務部及研考會。

台灣穩私權推廣研討會紀實

本會於內政部同意籌組後成立籌備處時,即與法務部、研考會、軟體協會資安促進會、資安人雜誌共同合辦「台灣隱私權推廣研討會」,邀請政府機關的法務人員及從事個人資料處理的業務人員參加,受到熱烈的迴響及肯定,會中並邀請到法務部施部長、立法院司法委員會立法委員李復甸、郭林勇等貴賓到場致詞,這次研討會也獲得法務部施部長全力的支持與期許。研討會最後與參加者進行座談,結論如下:

.建議「電腦處理個人資料保護法」所規範之八大類目的事業主管機關可建立「隱私長(CPO, Chief Privacy Officer)」職位,本職位可考慮與目前政府機關之資訊安全長結合。

.各單位的目的事業主管機關即是隱私權業務的目的事業主管機關,建議法務部參考日本隱私權的工業標準,協商經濟部標準檢驗局制定台灣的隱私權工業標準。

.建請法務部協助各目的事業主管機關建立隱私權相關的行政指導,全面推動企業強化隱私保護工作。

.目前政府機關的人員處理個人資料時,不知道是否違法,因此應該加強政府機關人員隱私權的教育訓練,各單位於規劃辦理內部教育訓練時,建議將隱私權納入課程規劃中。

.隱私權問題一旦爆發,其影響層面及侵害民眾權利至鉅,雖然目前個資法修法尚未三讀通過,但政府的資訊安全管理已初具基礎,為進一步強化隱私權益保護,促進台灣優質網路社會的健全發展,建議政府可將國家資通安全會報調整為「國家資通安全/隱私權會報」,在資訊安全基礎上,與法務部及民間協會共同培養政府機關人員的隱私權認知,再全面推行至企業。

因此陳理事長更希望下一階段可以再獲取更多其他民間企業的支持,以及政府機關八大目的是業主關機關的支持,包括金融監督管理委員會、教育局、衛生署、交通部、經濟部、新聞局等單位。另外,可促成「國家資通安全/隱私權會報」的成立,建立台灣隱私權的標準,加強政府及企業隱私權的教育訓練。



分階段推動方針與協會未來願景
隱私權的推動不容易立即全面推廣,必須分階段及目標逐步踏實執行,以日本為例,雖然個資法的法律尚未施行,但各目的事業主管機關就已經先制訂其隱私權的行政指導,配合民間協會推行,而後法律公布後便全面實施,但台灣的「電腦處理個人資料保護法」早在民國84年便已公佈實施,以協會目前構想應與日本由下而上的推行方式不同,希望採用由上而下方式推行,就如同法務部施部長強調的「政府機關因其公權力特性,比其他民間機構更容易握有個人資料,因此更應做好個人資料保護工作」,第一階段應該由公務機關先行做起,讓公務機關的公務人員先瞭解到個人資料保護的重要性,並具備基本的法律認知,瞭解如何蒐集、處理及利用個人資料才不會觸犯到法律的責任。接下來第二階段再由公務機關為核心,輔導業務管轄的非公務機關進行隱私權推廣,最後階段再全面推行到台灣的全體民眾。

有關於隱私權教育訓練的工作就非常重要,以日本成功的經驗而言,日本訂定了一個隱私權管理程序的標準,目前世界各國所推行的都是ISO管理程序的標準,雖然在ISO管理程序的標準中有提到隱私權的部分,但都太過於原則性宣導,對於隱私權的執行幫助有限,民間機構所提供的隱私權認證大都依據此大原則自行設計課程教授,比較沒有統一的標準。因此,本協會希望台灣還是應該有一個屬於台灣隱私權的CNS標準,有助於各公務機關或非公務機關共同依循的標準,就如同日本所訂定的JIS Q 15001標準(Personal Information Protection Management Systems-Requirement)。

以目前世界各國隱私權認證的趨勢而言,通常區分為一般認知課程、專業課程及專家課程等,以日本為例,規劃的一般認知課程包括APC(Association Privacy Consultant) 、CPA(Corporate Privacy Associate),專業課程包括CPC(Certified Privacy Consultant)、CPP(Corporate Privacy Professional) 、CPO(Chief Privacy Officer),專家課程包括金融、保險、證券、醫療、電信、教育等專家領域。

協會希望初期推廣時,以一般認知課程及專業課程為主,政府機關的一般使用者及主管推廣一般認知課程,發行隱私權認知管理師證照,業務人員及稽核人員推廣一般認知課程及專業課程,發行隱私權認知管理師及專業管理師證照。若整體推行極具成效,再推行專家課程,發行隱私權專家管理師證照。

以世界各國推行隱私權成功的例子來看,當單位內部具有認證人員推動隱私權的管理程序後,可能要依據需求採購相關資安產品或工具來協助管理系統保護個人資料(如數位權限管理系統、認證系統、防火牆系統、入侵偵測系統、弱點掃描系統、電子郵件安全系統、安全監控中心S.O.C等),另外,可聘請隱私權顧問單位來進行輔導,提供調整及修正的建議,執行管理系統後,再聘請國際認可的認證公司,進行第二方或第三方的認證。

認證的部分可概略區分為兩大部分,一部分為網際網路網站隱私權的認證,目前台灣較為著名的認證公司包括國際TRUSTe認證(隱私權政策認證)、網際威信HiTrust認證(資訊傳輸安全認證)及台灣網路認證公司TaiCA認證(資訊傳輸安全認證)等;一部分為企業內部隱私權流程的認證,目前台灣並無此認證。協會將全力促成台灣隱私權標準,並推動隱私權輔導工作,並結合國內之國際標準認證公司(如德國標準香港商漢德技術監督服務亞太有限公司台灣分公司TUV公司)投入隱私權認證工作,詳如圖3所示。

可以看出政府不但注重資通安全,也注意到保障民眾隱私權益,協會的願景希望能夠透過代表性團體的會員招募、與政府的協同運作,有計畫的分階段推動,達成一個隱私權-資訊安全的台灣(Privacy-Security Taiwan)的目標,並可於國際上建立隱私權及資訊安全的形象,有助於台灣未來抬頭挺胸的站上國際舞台,詳如圖4所示。