新版個資法立法的重要精神就是,促進個資的合理利用,要做到這一點,企業除了按照法條所規範的程序蒐集/處理/利用個資,也要做好個資安全防護,以免個資外洩造成當事人的損害,而在日前公告的個資法施行細則中,也明確指出企業該做哪些安全維護措施。
除了施行細則有提到安全維護措施的工作項目之外,在個資法第27條亦指出,中央目的事業主管機關得訂定「非公務機關個人資料檔案安全維護計畫或業務終止後個人資料處理方法」,讓非公務機關可以據此維護個資安全,而法務部也將此納入工作計畫中,希望提供「非公務機關個人資料檔案安全維護計畫」的範本,作為各個目的事業主管機關制定相關辦法時的參考。
本文以施行細則中11項安全維護措施為基礎,列出目前市場上相關的解決方案及供應商(表1),至於第6、8、9項,也就是資料安全管理、人員管理、設備安全管理、與資料安全稽核機制,則參考法務部「非公務機關個人資料檔案安全維護計畫標準辦法草案」,列出該有的控制措施及資安解決方案,作為企業採購個資法解決方案時的參考。(表2)
10項管控措施+6大管理政策 落實個資安全維護
根據「非公務機關個人資料檔案安全維護計畫標準辦法草案」,安全管理措施分成人員、作業、物理環境、技術共四個管理層面:
- 人員管理的重點是,確認進行個資蒐集/處理/利用的作業人員,並配合適當的權限設定與控管機制,避免其可以接觸非職務範圍內的個人資料;
- 作業管理則指,企業在蒐集、處理及利用個人資料時,應該要制定相關的管理機制,以確保作業程序的安全性,如:資料加密與遮罩;
- 物理環境管理著重在,存放/處理個資的實體作業環境安全;
- 技術管理的重點則是,企業若利用電腦或相關設備蒐集/處理/利用個資時,所應採取的管控措施。
這四個管理面向所對應的資安管控措施,有些必須透過資安解決方案才能達成管控目標,有些則是從政策制定、教育訓練端著手即可。
10大資安管控措施
1. 身份認證及系統存取權限管控:
(1) 針對作業人員來看,在從事個人資料相關之各項作業時,企業應該設定作業人員的權限控管機制,並採取相對應的認證機制辨識其身份,確認其權限設定在適當或必要範圍內,避免人員取得不適當的權限,可以接觸不是在作業必要範圍內的個人資料。
(2) 使用者可存取個人資料的數量及範圍,應該設定在作業必要的限度內,而且不可以多人共用一個帳號。
(3) 對於可以存取個人資料的端點電腦,應該進行身分認證以便管控。
(4) 對於可以存取個人資料的應用程式,在使用前,應確認使用者具備使用權限。
(5) 若使用帳號密碼的認證機制,密碼設定應具備一定的安全強度且定期更換。
2. 異常存取警示機制
在可能會接觸到個資的電腦、相關設備或系統上,最好設定警示與反應機制,以便能即時處理與避免不正常的個資存取行為。
3. 資料儲存與傳輸過程中的加密
無論個人資料處於儲存、傳輸與備份哪一種狀態,如果有加密的必要性,就應該採取適當的加密機制,如果此加密機制有運用到密碼的話,也應該妥善保存加密密碼,另外,在傳輸個人資料時,除了加密以外,還要確認資料接收者的正確性,以避免資料不當外洩。
4. 資料銷毀
儲存個人資料的媒體如:硬碟、光碟…等,在廢棄或移轉予他人前,應確實刪除媒體中所儲存的資料,或以物理方式將其破壞,避免資料不當外洩。
5. 資料備份與復原
個人資料如果有必要做備份時,企業必須先評估是否有必要針對備份資料做加密,並謹慎保管儲存備份資料的媒體,定期進行備份資料的還原測試,確保備份的有效性。
6. 避免系統遭受無權限的存取
針對儲存個人資料的系統,應導入適當的資安設備,例如:防火牆、路由器…等,並定期調校設定值,避免無權限的存取行為。
7. 端點電腦管控
用來處理個人資料的電腦或伺服器,應管制不可以安裝檔案分享軟體,同時要安裝防毒軟體,並定期更新病毒碼,避免惡意程式或木馬病毒的威脅。
8. 避免惡意程式與系統漏洞的威脅
處理個人資料的資訊系統如有變更時,應確認其安全性並未降低,另外也要注意patch更新的時間,定期安裝作業系統與相關應用程式的修補程式,以及瞭解惡意程式的威脅,並確認安裝防毒軟體及修補程式後,電腦系統的穩定性,避免惡意程式與系統漏洞對作業系統的威脅。
9. 可攜式儲存媒體的管理及使用規範:
對於處理個人資料的電腦及相關設備來說,可攜式儲存媒體(如:隨身碟)可能會增加其遭受惡意程式攻擊及個人資料外洩之風險,因此,企業若開放員工使用可攜式儲存媒體,應訂定相關使用規範,以降低風險。
10. 實體安全機制
實體安全機制指的是實體作業環境安全性,像是機房或辦公室,企業應視作業內容及環境特性,實施必要的門禁管理或安全監控等機制,避免讓不相關的作業人員進出,至於作業環境內所使用的實體設備也要妥善維護與控管,如果是保管個資儲存媒介的場所,更要建置防災設備,以免個資因為意外災害而毀損。
6大資安管理政策
1. 確認蒐集/處理/利用個資的各個業務流程負責人,並要求相關作業人員擔負保密義務,最常見的作法是要求員工簽署保密協定。
2. 訂定蒐集、處理、及利用之作業注意事項,讓作業人員有依循的標準。
3. 設定個人資料的存取權限及範圍,並定期檢視個人資料存取權限的設定,是否適當亦或需要調整。
4. 定期測試權限認證機制的有效性。
5. 處理個人資料的系統,不應該使用真實個資進行系統測試,最好採取資料遮罩…等方式,如果非得使用真實個資,則要明確規定其使用程序。
6. 定期檢查處理個人資料之資訊系統的使用狀況及個人資料存取情形。
因應舉證要求 13項一定要留存的記錄
根據新版個資法29條,個資事件發生時,企業若能舉證證明自身無故意或過失,就不必擔負損害賠償責任,但,企業該如何提出證據?日常作業中,哪些資訊必須被保留,才能在日後證明自身已善盡善良管理人義務、個資事件實乃非戰之罪?這是現今企業最關注的課題之一。
在施行細則11項安全維護措施中,第10項談的就是使用紀錄、軌跡資料及證據保存,而根據「非公務機關個人資料檔案安全維護計畫標準辦法草案」,企業必須留存的記錄至少有以下13項,但草案中並未指出各項記錄的保存年限:
1. 因應個資事件發生所採取行為的記錄。
2. 確認受託人執行委託人要求事項的記錄。
3. 提供當事人行使權利的記錄。
4. 確認個人資料正確性及更正的記錄。
5. 個資存取權限新增、變動及刪除的記錄。
6. 違反權限存取個資行為的記錄。
7. 備份及還原測試的記錄。
8. 個人資料交付、傳輸的記錄。
9. 個人資料刪除、廢棄的記錄。
10. 存取個人資料系統的記錄 。
11. 定期檢查處理個人資料資訊系統的記錄。
12. 對員工執行相關教育訓練的記錄。
13. 執行計畫稽核及改善程序的記錄。
新版個資法上路日期還不到1個月,仍有許多問題無法解答,企業最想知道的就是,個資防護要做到什麼程度才不會被罰?但在目前沒有判例的情況下,這個問題很難找到標準答案,唯一能肯定的就是,有做雖然不能保證不會被罰,但什麼都不做絕對會被扣分,建議企業先評估自身現況,從上述資安解決方案中找出符合需求的產品或服務,即便沒有財力和資源進行資安採購,至少也要從管理程序、教育訓練端著手,建立員工的個資防護意識,一旦未來發生個資訴訟案件,今日這些積極作為便是向法官爭取降低賠償(甚至不用賠償)的最佳證明。
【個資法鳴槍起跑,你落後了嗎?】之一:主管機關配套措施 先宣導再制定安全計畫