個資法來臨,您準備好了嗎
新版「個人資料保護法」 ( 原名「電腦處理個人資料保護法」),於民國 99 年 4 月 27 日正式於立法院三讀通過,由於詳盡規範個人資料蒐集與處理程序,企業若未盡完善告知或者使用過程上有瑕疵,也會面臨個資外洩的資安風險;加上舉證責任倒置,企業必須負起證明本身無過失及盡善良管理的舉證責任,在市場一片紛紛飛向雲端的此時,該如何同步因應個資法推動時,所產生的資訊安全問題?
坊間因應此法案而帶來了一連串衝擊,包括發展已久但沈寂多時的各式各樣 DRM、DLP、NAC、Log Analyze 產品,開始以「雨後春筍」的曝光風格紛紛瘋狂露出,但是,如果說連要防止外洩的目標為何都不清楚,那麼購置了 DRM、DLP 等產品的個資防護政策執行部門,又要從何防起?
因此,企業面對個人資料保護法的第一步,即為個資盤點。唯有透過個資盤點,清楚發掘並標定個資的所在,才能識別個人資料的擁有者、資料流、影響程度以及相關牽涉部門,並進行後續的評估、保護計畫,並擬定相關的對應策略,
個資盤點是資料外洩風險防範的第一步
在個人資料保護法通過後,企業必須回頭審視手邊擁有的個人資料,是否由當事人提供或間接蒐集而來,而這些個資使用目的是否已經變更與否等狀態,都攸關企業未來在使用這些個資時,是否必須再取得當事人同意。因此,企業面對個人資料保護法的第一步,就是應該從盤點企業目前所擁有的個資種類、數量、形式和位置,進而推估出企業業務流程的資訊流,進一步擬定相關的個資保護流程。
透過個資盤點產出個資探勘報表的過程,不但可以發掘企業過去歷史資料中潛藏的個人資料(風險所在),同時也可以透過盤點網站、電子檔案、資料庫、歸檔封存郵件等電子化資訊的過程,理解企業資料的資料流程(Data Flow Diagram),進一步釐清資訊的負責人、牽扯相關部門、風險程度、以及到底一旦發生外洩,公司會付出多少有形以及無形的代價。
個資防護設定的應用工具與權責單位
大部分的 DRM、DLP、NAC、Log Analyze 產品,是屬於 IT 工具的範疇,也是個資保護流程的最後一環,以規劃和採購的時程安排而言,這僅是最後一件需要執行的事項。因此,不是昂貴的 IT 工具投資就能解決個資防護的問題。透過個資盤點確認防護需求的過程,就有能力選擇符合不同個案對個資防護需求的 IT 工具,並且針對外洩防護和舉證做法律導向的思考防護設定策略,也就是以阻斷外洩資訊的「不當事實、資料」、「行為資訊」、「當事人」、「損害因果關係」,作為基礎的外洩偵測或個人資料遮蔽設定原則。如此,才能真正有效降低個資外洩,進而引起官司成立的風險。
那麼法務、IT、稽核,到底誰要來做?在個資防護策略的擬定和進行中,每個人都應了解,個資防護不僅是 IT 議題,更是一個法律上的問題,但僅由法務部門進行組織內的推動角色,對於今日 e 化程度極高的企業或組織而言,則是不切實際的想法。個資防護是一個跨部門的重要議題,必須具備明確的主管組織、完整的個資盤點、好的資訊保護框架、IT 工具,才能落實執行力。而 IT 部門的重點任務則為盤點、歸檔、報表、警示、舉證,而非背負洩漏責任,應當讓權責和管理行動,落在個人資料擁有者與使用者(部門)身上,才能有效的將個資防護變成全體共同議題。而回歸個資防護計畫的原始出發點,這一切都必須仰賴個資盤點後的分析報告,以有力的證據和事實來作為驅動的原點,由此可見個資盤點對於個資保護計畫的重要性。
Openfind 個資法解決方案
結合網擎資訊獨家「個資辨識引擎技術」及豐富的雲端服務經驗,P-Marker Cloud 可替企業組織快速識別高風險個資檔案。P-Marker Cloud 個資盤點服務首創的中文姓名、台灣地址識別技術,協助您精準找尋散落各地的機敏個資。另外還支援市內電話、手機號碼、身分證號碼、信用卡卡號以及電子郵件地址的個資搜尋,確保各類個資都能一網打盡!
日本早在 2005 年即開始實施個人資料保護法,回顧日本市場在推動個資盤點服務的經驗,企業客戶對於每台電腦上要安裝一個常駐掃描程式,以及得準備一台獨立伺服器來管理這些分散各地程式的動作,除了感到費時費力外,更因為持續保持連線的狀態,衍生出潛在資安的威脅。所以 P-Marker Cloud 決定以雲端服務的形式提供個資盤點服務,以降低客戶進行個資盤點的門檻。以最簡單的架構、可負擔的價格,幫助企業與政府機關迅速完成個資盤點作業。
除了自動化盤點出散落在各地個人電腦上的個資外,P-Marker 更可以產生完整且實用的各類報表。如清查結果檔案列表與清查結果統計表,以及個資顧問業者專用的專業表單:處理方式建議表、衝擊評鑑表與風險評鑑表等。所以不論貴單位是自助執行個資法因應或是聘請專業顧問,P-Marker Cloud 自動盤點工具,都可以協助您快速且簡便的執行個資法因應的第一步。
針對企業在因應個資法實行同時,郵件發送的前、後稽核則是最大的重點,管理者應該挑選具備攔截或掃描個人隱私資訊能力的郵件安全解決方案,在郵件發送前預先攔截隱含個人隱私資訊的郵件,依照企業政策進行主管審核或者紀錄備查的動作;發送後的資訊也應該歸檔至歷史郵件庫,定期進行關鍵字追蹤,主動警示管理者隱含個人資訊的信件內容,讓管理者能主動地進行此類機敏信件的控管;如此搭配無論是在事前風險的控管,或事後蒐證需求,都能萬無一失的應對。
想了解更多有關個資法的最新消息與市場動態,請參考: