2012 年

2012-12-26

流程盤查打不開的個資黑盒子?
睿明資通 首席顧問 鍾榮翰

個資法自 10 月 1 日施行以來,社會出現了許多令人啼笑皆非的現象,例如:中部地區某縣府發函要求各級學校應保護學生個資,導致參加全國美展出賽獲獎名單公布,出現一堆○○!(資料來源:2012年11月10日蘋果日報)
1

消基會於 11 月抽查 19 家銀行、購物、餐飲業者服務申請書、意見調查表,發現僅 37% 依個資法告知消費者蒐集個資目的及使用方式等資訊,顯示新法雖已上路 1 個多月,業者的準備工作還不及格。

個資法 §18 要求公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。施行細則 §24 條另規定公務機關保有個人資料檔案者,應訂定「個人資料安全維護規定」。

個資法 §27 要求非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。施行細則 §12 條綜整以上規定:「本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施」。

前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:

  1. 配置管理之人員及相當資源。
  2. 界定個人資料之範圍。
  3. 個人資料之風險評估及管理機制。
  4. 事故之預防、通報及應變機制。
  5. 個人資料蒐集、處理及利用之內部管理程序。
  6. 資料安全管理及人員管理。
  7. 認知宣導及教育訓練。
  8. 設備安全管理。
  9. 資料安全稽核機制。
  10. 使用紀錄、軌跡資料及證據保存。
  11. 個人資料安全維護之整體持續改善。

實務作為所採行的方法或是標準眾多,例如:英國的 BS 10012、CNS/ISO/IEC 27001 或是經濟部商業司所推動的 TPIPAS 等,均是植基於風險管理之基礎,建立管理系統,落實保護作為,證明以盡善良管理之責任。

故有關機關界定個人資料之範圍、進行風險評估及管理、及釐定個人資料蒐集、處理及利用之內部管理程序等,均需建立個資檔案清冊,進行「個資流程盤查作業」,主要目的在於確認機關個資蒐集之特定目的,以符合程序之要求。

但是在顧問輔導實務作業中,筆者發現,採用訪談方式進行流程盤查作業,訪談資料信校度可供後續保護作為之參考,需有以下條件需成立:

  • 受訪談者對於業務流程非常熟悉
  • 受訪談者對於系統架構非常瞭解
  • 受訪談者的記憶力要很好未衰退
  • 受訪談者願意誠實以對毫不欺瞞

可惜的是,實務中我們發現以上條件並不存在,所以導致訪談的結果與實務的差距過大,機關到底擁有多少個資,存在於何處?是否有業務人員為了業績進行非法蒐集?是否有助理人員在處理過程保有巨量之資料?是否有獲得授權之人,意欲進行特定目的外之利用?以上問題如果無法釐清,恐不利於後續保護作為之規劃,一直到採用 P-Marker 自動化個資盤點工具之後,筆者才驚覺實務比我們想像中的還可怕。

現實環境中,大量之個資將會採用資訊科技協助處理,不管是電子檔案或是資料庫,問題是機關所擁有的資訊設備中,到底有多少個電子檔案?其中存有個資的檔案比例又有多少?要花多少時間才能夠清查完畢?有可能對於機關造成鉅額民事損害賠償金額的檔案又有多少呢?以上問題若沒有答案,請問要如何進行風險評鑑呢?又要如何進行風險處理呢?

以下數據是有不同類型之輔導個案所查得的數據:

2 
表: 自動化個資盤點個案統計表

由以上個案得知,平均每台電腦所擁有之檔案數量,以中央部會最高,平均每台超過 25,000 個檔案,非公務機關的生技產業最少,約 7000 個檔案,其中含有個資檔案之比例者,以中央部會將近 40% 比例最高,非公務機關也有 25%,數量真的非常驚人,以自動化工具盤查,平均每台電腦需耗費 6 小時,假若要以人力進行,根本就是不可能的任務!

其中含有極大量個資者,以私立大學及生技業者個案為例,將近佔檔案總數 5%,其分布的情形更是超乎想像之外,最常見的是大量個資是來自於前一個工作職務,惟職務異動之後,電腦設備並未更換,自然在流程盤查時,也很難告知前一職務所保管之個資為何。另一個實例中,則是發現在應用伺服器 (AP Server) 上,留存有大量的個資暫存檔案,但卻沒有人知悉這些檔案的存在。更甚者還發現有將全部會員資料匯出的暫存檔,總數超過數十萬筆,卻沒有人可以清楚說明這些檔案的用途與該如何處置。由上述實例可知,如果不是透過自動化個資盤點工具的輔助,這些潛藏在各處的個資檔案將成為風險評鑑的盲點。

個資盤查若不仔細,保護作為是否會白費力呢?以上情形普遍出現於受輔導之個案中,深值業主與顧問業者深思!