資料外洩已成為主流資安事件，每次新出現的外洩事件似乎都比之前更嚴重。近期外洩事件的嚴重程度，讓資料保護成為近年來立法領域討論最多的話題，促成了各國的嚴格立法，例如歐盟的一般資料保護規則 ( General Data Protection Regulation ( GDPR) 以及世界各地，包括英國、美國、澳洲及中國。

這些事件的詳細資訊，向大眾展示了他們的個人資訊遭到使用或濫用的各種方式 – 用於分析、精準行銷、公然盜用身分等等。而大眾開始更加關注企業如何收集與保護他們的個人資料。光是去年一年，我們已經看到企業如何儲存資料儲存失當、缺乏適當更新的安全性，並且輕率處理存取權限，導致第三方得以不當使用資料。這個情況顯示，雖然大多數企業已經制訂並改善了資料收集與使用政策，但並未將資安納入考量。

企業資料安全狀況

越來越多的大規模隱私暴露事件以及後續引發的結果，促使企業增加了資安解決方案的開支。根據 Gartner的資料顯示，今年全球資安支出將達到 960 億美元；到了 2020 年，超過 60% 的企業將投資多種資料安全解決方案。調查受訪者表示，這些支出決策背後的主要推動力是資料外洩的風險。

但是部署尖端資安技術，只是周全有效的資料保護計畫中的一小部分。另一個重要部分是改變保障隱私做法的實際方法。涉及個人資料的任何計畫或專案，一開始就必須將隱私納入首要考量，而非將其視為附加功能。企業應該儘早在所有技術、流程及系統的設計階段納入隱私原則，這是一種主動而非被動的避險方法。

企業要如何進行改善？

組織需要採納隱私始於設計 (Privacy by Design) 的架構，在最初階段就對隱私及資料保護問題進行預測及因應。世界各地的主管機關已經體認到這種方法的優點，由近期如 GDPR 等法規的制訂可見一斑。遵循法規是朝著正確方向邁出的一步。遵循 GDPR 不僅是處理歐洲公民資料的必要要求，而遵守規則也為任何收集及處理個人資料的組織樹立了良好的典範。企業若希望將隱私全面整合至其基礎架構中，還應該注意由 GDPR 推動的重要資料隱私原則：資料最少化 (data minimization) 及匿名化 (pseudonymization)。

資料隱私從明確定義兩件事開始：要收集的個人資料類型，以及收集資料的用途。一些組織正在收集超出其真正需要的資料，並用於未明確告知使用者的用途。一種避免這種情況的方式，是資料最少化：僅向客戶收集需要的資料，用於使用者同意的用途，並遵循適當的資料保留政策，或在達成預期目的後刪除資料。

另一方面，匿名化資料能夠讓個人資料無法直接識別出特定人士。要將個人資料連結到特定某人的唯一方法，是將它與分開儲存及保護的其他資料組合在一起。這表示組織仍然可以處理個人資料並繼續為客戶提供服務，同時保護他們的隱私權。 繼續閱讀