分類: 資料外洩/個資外洩

資料外洩已成為主流資安事件，每次新出現的外洩事件似乎都比之前更嚴重。近期外洩事件的嚴重程度，讓資料保護成為近年來立法領域討論最多的話題，促成了各國的嚴格立法，例如歐盟的一般資料保護規則 ( General Data Protection Regulation ( GDPR) 以及世界各地，包括英國、美國、澳洲及中國。

這些事件的詳細資訊，向大眾展示了他們的個人資訊遭到使用或濫用的各種方式 – 用於分析、精準行銷、公然盜用身分等等。而大眾開始更加關注企業如何收集與保護他們的個人資料。光是去年一年，我們已經看到企業如何儲存資料儲存失當、缺乏適當更新的安全性，並且輕率處理存取權限，導致第三方得以不當使用資料。這個情況顯示，雖然大多數企業已經制訂並改善了資料收集與使用政策，但並未將資安納入考量。

企業資料安全狀況

越來越多的大規模隱私暴露事件以及後續引發的結果，促使企業增加了資安解決方案的開支。根據 Gartner的資料顯示，今年全球資安支出將達到 960 億美元；到了 2020 年，超過 60% 的企業將投資多種資料安全解決方案。調查受訪者表示，這些支出決策背後的主要推動力是資料外洩的風險。

但是部署尖端資安技術，只是周全有效的資料保護計畫中的一小部分。另一個重要部分是改變保障隱私做法的實際方法。涉及個人資料的任何計畫或專案，一開始就必須將隱私納入首要考量，而非將其視為附加功能。企業應該儘早在所有技術、流程及系統的設計階段納入隱私原則，這是一種主動而非被動的避險方法。

企業要如何進行改善？

組織需要採納隱私始於設計 (Privacy by Design) 的架構，在最初階段就對隱私及資料保護問題進行預測及因應。世界各地的主管機關已經體認到這種方法的優點，由近期如 GDPR 等法規的制訂可見一斑。遵循法規是朝著正確方向邁出的一步。遵循 GDPR 不僅是處理歐洲公民資料的必要要求，而遵守規則也為任何收集及處理個人資料的組織樹立了良好的典範。企業若希望將隱私全面整合至其基礎架構中，還應該注意由 GDPR 推動的重要資料隱私原則：資料最少化 (data minimization) 及匿名化 (pseudonymization)。

資料隱私從明確定義兩件事開始：要收集的個人資料類型，以及收集資料的用途。一些組織正在收集超出其真正需要的資料，並用於未明確告知使用者的用途。一種避免這種情況的方式，是資料最少化：僅向客戶收集需要的資料，用於使用者同意的用途，並遵循適當的資料保留政策，或在達成預期目的後刪除資料。

另一方面，匿名化資料能夠讓個人資料無法直接識別出特定人士。要將個人資料連結到特定某人的唯一方法，是將它與分開儲存及保護的其他資料組合在一起。這表示組織仍然可以處理個人資料並繼續為客戶提供服務，同時保護他們的隱私權。 繼續閱讀

 

企業機構正為了符合即將在五月上路的歐盟通用資料保護法 (General Data Protection Regulation，簡稱 GDPR) 而忙於重整其資料蒐集與管理政策。GDPR 的影響範圍非常廣泛，涵蓋任何會蒐集並處理歐盟人民個人資料的企業機構，甚至非設在歐盟地區的機構也在涵蓋範圍內。然而，絕大多數的討論都圍繞在民間機構即將面臨的安全與資料相關問題。公家機關的情況則鮮少論述。GDPR 知道，為了公共利益，公家機關在某些特殊情況下必須擁有某些法律上的轉圜空間，尤其是牽涉到安全與醫療。

GDPR 針對公共事務的除外狀況

GDPR 的規範涵蓋所有類型的個人資料，包括可用來識別個人的所有資訊，如：姓名、社會安全碼，以及一些特殊資料，如政治主張和種族。這些都是公家機關經常會蒐集到的珍貴資料，包括：人口普查、選舉部門、醫療及就業團體等等。而這些資料在許多情況下，很可能被有心人士拿來對個人不利，因此才會有制定資料保護法的必要。

雖然 GDPR 針對個人資料的蒐集、管理與處理訂定了許多規範及嚴格的安全標準，但在某些情況下，GDPR 對於擔任資料掌控者與處理者的公家機關卻有些放鬆的規定。視歐盟或會員國的法律而定，這些豁免狀況包括：

• 為了履行資料掌控者或資料擁有人在就業與社會安全及社會保護法中的某些權利。
• 為了國防、犯罪調查、保障公共安全。
• 為了歐盟會員國與歐盟整體的金融或經濟利益。
• 為了公共利益而必須歸檔、為了科學或歷史研究之目的，或為了統計之目的，但僅限於必須獲得豁免才能完成該項工作時。

基本上，這些都是公共安全和學術工作相關的特定領域公家機關活動。在一般情況下，公家機關依然全面適用 GDPR，因此公家機關仍必須遵守其資料蒐集與處理規定。

特殊類型資料的處理

GDPR 有很大部分都是關於認定哪些類型的資料屬於個人資料，以及企業機構該如何處理這些類型的資料。該法對於個人資料的規定相當完整，並且禁止處理有關人種、種族、政治、宗教、信仰、基因與生物特徵，以及有關健康和性別傾向的資料。當公家機關在某些情況必須取得上述類型的資料時，GDPR 也明確訂定了禁則例外情況，包括：

• 若資料之處理有重大公眾利益之必要，那麼 GDPR 仍有一些轉圜空間，唯必須設置適當的機制來保障該人民的基本權益。
• 若資料之處理「有建立、執行或捍衛法律主張之必要，或當法院在執行其司法公務時」。
• 若資料之處理牽涉公共衛生領域，或者為了維持醫療照護、醫藥或醫療服務之高標準時。
• 若資料之處理為了公共利益而必須歸檔、為了科學或歷史研究之目的，或為了統計之目的而必要時。

當然，這些是在歐盟或會員國法律能確保其人民基本權益的情況下所訂的例外狀況。

公家機關人員會處理到一般民間企業無法取得的敏感資料，從社會安全碼到人種與生物特徵等資料，甚至牙醫就診記錄與完整的就醫記錄。因此公家機關和機構務必妥善保管所有人民委託給他們的資料。萬一這些資料落入網路犯罪集團手中，很可能將導致人民身分遭到冒用，進而引發嚴重後果。

公家機關該如何因應?

許多民間企業都在積極更新其資安防護並大肆翻新其作業流程來配合新的 GDPR 標準以保障資料安全。除此之外，也積極試圖達成該法對於資料擁有人的同意權及被遺忘權的規定。然而，公家機關基於公共利益的關係，在後者方面有較大彈性，但這項彈性也意味著資料的防護更加重要。

公家機關的挑戰在於根據 GDPR 的豁免情況來將資料分類，並且調整其政策和流程來配合歐盟和國家的法律，更新其資安防護，並且確保資料流程的安全。不論是否具有豁免權，採用最新、最頂尖的資安防護終究還是能夠讓公家機關獲得安全上的優勢。

為了做到更安全的資料蒐集與管理以符合 GDPR 規範，公家機關應採取以下步驟：

1.首先，掌握資料的流向並做好風險評估：您手上有哪些資料？蒐集該項資料的目的為何？其處理方式是否符合公共利益？誰可以存取這些資料？是否能將該資料刪除？

企業機構應採取最少資料的原則，換句話說，將所有從客戶或人民蒐集來的非必要資料刪除。

2.接著，檢討並更新您的資料蒐集與使用者同意政策，記住哪些是法規上具有豁免權的資料。

3.聘任一位資料保護長 (DPO)，並確保 DPO 和資料擁有人之間保持暢通的溝通管道以防有任何疑慮 (例如要求資料從任何資料庫刪除)。

4.更新網路資安解決方案與資安政策。關於資料，GDPR 規定企業機構必須採取「適當的技術與組織手段」來確保其儲存與處理的安全。

法規規定企業機構應考慮建置「頂尖」的資安防護，因此可考慮採用第一線的資安品牌。

5.若您負責處理資料，請保留完整的活動記錄。GDPR 規定，企業機構必須記錄一些資料處理的細節，如：個人資料的處理時間、處理人員、處理方式等等。

6.檢討現有的服務供應商或廠商，包括任何負責幫您處理資料的人，他們也必須符合 GDPR 的規範。您應更新您和供應商之間的所有契約，要求他們承諾遵守法規並保障個人資料的隱私。

7.不論是資料掌控者或處理者，GDPR 對於資料外洩事件的通報規定更加嚴格，罰鍰也更高。檢討並更新通報政策，模擬一下可能發生資料外洩狀況。

以上清單雖不盡完整，但仍有助於公家機關開始著手。

歐盟會員國還有以下額外責任：
1. 必須設置一個監理單位來負責監控並強制執行法規以及其他工作。
2. 此外也必須填補許多法律上的空缺。GDPR 保留了許多空間給各國政府來加入具體的管制或除外情況。該法規只規定了一些最低要求，會員國可自行決定是否進一步限制或放寬規定。

更多的個人資料，意味著更大的責任。結論是，企業機構在制定資料管理政策及程序時必須隨時注意隱私權。公家機關或許希望能提供快速而高效率的服務，但考量當前的威脅情勢，安全依然是第一要務。更有效率且更安全的資料管理對任何機構來說都是無價之寶，尤其是牽涉到公共利益，以及身處於今日連網的資料導向世界。

看看趨勢科技如何協助您達成 GDPR 要求。
原文出處：Balancing Security and Public Interest: The GDPR and the Public Sector