新版個資法對資訊安全議題之衝擊
作者:科建專任顧問師 周旺瑩
來源:http://www.kind.com.tw/main.php?action=article_intro&id=146
針對個人資料防護,我國於99年4月27日通過的新版「個人資料保護法」,係參考亞洲太平洋經濟合作會議(APEC:Asia-Pacific Economic Cooperation)的隱私保護綱領,對於取得個資的事先告知、蒐集管制和預防個資外洩造成的損害,納入個資保護的規範之內,以防範不當使用個人資料與外洩的情況。因此,個人資料已不再是資訊安全中「非強制保護」的項目,而是法令規範下「強制保護」的項目。而依照個人資料的生命週期(Life Cycle),個資防護範圍將擴大到個人資料的搜集、處理、運用及銷毀等四個階段,對應到企業/組織營運的作業流程來看,這四個階段可能分屬於不同部門的權責,由此可知個人資料之資訊安全管理,已不再侷限於IT部門的責任。而新版個資法對資訊安全議題所帶來的衝擊將是:如何在既有資訊安全管理系統(ISMS)的架構下擴增個人資料之控制措施。
依據ISO/IEC 27001:2005(E)第A.15.1.4條款:「個人資訊的資料保護與隱私,應如同相關法令、法規及適用的契約條文所要求,確保資料保護與隱私。」,可得知ISMS對於個資防護上流程過於簡化且不具針對性,因此國際上為強化ISMS對個人資料安全之標準化指引,已發展並出版相關之標準(表1),作為擴增ISMS對個人資料控制措施之準則,以避免個人資料出現在非重要業務流程時,ISMS無法突顯相關風險並確保法律的遵循性。換句話說,個資管理係架構在ISMS之上,如在英國BS 10012個資管理標準,即提出安全控管、儲存與處理、傳輸/存取控制、安全評估、資安事故管理…等ISMS中的安全議題(Security Issues),並明確指出,在適當之處可藉由通過ISO/IEC 27001之外部驗證來證明個資防護技術層面已遵循BS 10012之標準(條文4.13)。
表1 個人資料保護相關標準
1. ISO/IEC 27001 資訊安全管理系統(Information Security Management System,簡稱ISMS)標準系列。
2. McCallister, E. et al. (2010) Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), NIST Special Publication 800-122.
3. British Standard BS 10012 (2009) Data protection – Specification for a personal information management system.
4. Matthew, S. et al. (2008) An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPPA) Security Rule, NIST Publication 800-66, Revision 1.
5. Payment Card Industry (PCI) Data Security Standard (DSS) Version 1.2.1 (2009).
6. ISO/IEC JTC1/SC27 WG5 主責隱私安全標準系列之制定。
7. …
|
新版個資法將使企業/組織於經營上面臨巨大的挑戰,例如
1.當個資處理不當造成當事人損害時,屬告訴乃論,企業/組織需負舉證責任,如無法證明時,每人每一事件罰則為新台幣500-20000元,最高賠償上限提升到新台幣2億元;
2.賠償、處罰對象含括公司負責人;
3.新增團體訴訟將導致民眾積極參與及監督;
4.管理機關普及到各縣市政府;
這些影響對政府機關、非公務機關等等的衝擊與風險將無法忽視,並且將是企業/組織強化資訊安全管理的關鍵時刻。如果心存僥倖而造成個資管理上的缺失,將導致企業/組織落後於競爭對手,並且逐漸喪失既有的客戶與市場,企業/組織將得不償失。
從個資法的角度來看,個人資料的防護係從開始搜集個資即納入法律規範,而ISMS則是控管企業/組織所保有之資訊的處理與利用作業。個資與資訊安全管理之整合上,首先可將涵蓋組織內相關的個資流程納入現行ISMS認證(例如ISO/IEC 27001:2005標準)或實作的範圍中,整合過程包括有:建立、執行個資盤點與風險評鑑作業;ISMS之安全控制措施(著重資料的「處理」)中,增加個人資料「蒐集」、「利用」活動的管控;並在現行ISMS管理流程中,強化對於個資事故處理與回應的完整性…等。
從實作面的角度來看,以資料、資產盤點為例,不同於ISMS是由IT部門主導,個資盤點需由各權責部門執行才能夠完善,同樣地,個資風險回應計劃與補救措施也應由各權責部門來提出。簡而言之,IT部門提供個資防護技術面的作法,管理面則需透過各部門的參與(例如建立整合各部門之個資防護管理組織),如此個資管理系統才能提供有效且合理之控制措施,並能貫徹持續改進之精神。
另外,資訊安全會因為標準而不同,所遵循的資安標準也會因實作而不同,所以在遵循法規的前題下,企業/組織應訂定合宜且適用個人資料防護的ISMS。例如,曾有某公司人事專員處理新進人員報到時,新進人員提出:“公司詢問是否有犯罪紀錄是違法的,因為個資法載明犯罪前科屬於特種個資,所以依法不得蒐集”,最後該員堅持不填該員工資料表中需揭露事項(犯罪前科)。在這個案例中,由於符合ISO/IEC 27001:2005標準之ISMS,在人力資源安全控制中對聘僱人員的資格是有其管制標準的(面試錄取前,向前公司徵信當事人是否有資安犯罪、不良紀錄或不良評價),而在新版個資法或BS 10012等個資管理標準的規範下,ISMS在信用核對/犯罪紀錄檢核的部分是涉及敏感個資或不允許蒐集、處理及利用的。針對上述爭議,目前各有各的解釋與作法,當然詳細作法應以正式公布之個資法施行細則或各行業別個資法行政命令/法規公告為準。環顧過去因應政府政策或是客戶之要求而導入 ISO 27001 資訊安全管理系統 (ISMS) 的機構,如今應該在既有 ISMS 架構上,檢視個人資料管控深度並予以強化,進而設計一套兼顧資安管理制度與法令遵循之控管措施。因此在相關施行細則尚未正式公告前,企業/組織能預先準備的,即是重新檢視作業程序,找到其中之差異點,並審視個資管理與ISMS中之各項程序,是否有需修正之處或保留下來。
總之,新版個資法標榜的是通盤的法規要求,是一種個資防護之最高指導準則,也是未來各項管理辦法、法規標準、行政命令之依循方向。企業/組織除了參考國際間既有之標準、作法(如JISQ 15001:2006日本個人資料管理制度、BS 10012:2009個人資料管理標準)外,目前台灣已著手規劃個資保護相關之管理制度(例TPIPAS)或驗證標章,而目前對於已具有ISMS架構之企業/組織而言,除了應加強涉及個人資料部分管理之有效性外,仍需同時檢視相關之技術配套措施是否足夠!至於未建立ISMS架構之企業/組織,建立一套符合法律規範及包含管理面與技術面之個人資料管理系統(PIMS),實屬燃眉之急!
【參考文獻】
[1]個人資料保護法(2010)
[2]新版個資法施行細則預告與釋疑(簡報資料) (2010) 黃荷婷
[3]個資法衝擊分析及防護管理 (2010) 黃小玲
[4]法務部-APEC隱私權保護剛領(中英文對照) (2009)
[5]Data protection–Specification for a personal information management system. (2009) British Standard BS 10012
[6]資訊安全管理系統(Information Security Management System,簡稱ISMS)標準系列 (2005~2010) ISO/IEC 27000
圖片來源:http://www.tncg.gov.tw/tainan/MenuList_t3.asp?nsub=H1A0A6
文章定位: