從個人資料保護法談個資保護與資安防護實務

課程: 論文研討(四)

日期 : 2013/04/12

時間 : 13:50 ~ 15:30

學生 : 資傳研二 蕭維廷

演講者 :陳鴻彬 顧問

隨著個人資料保護法的實施，個資保護已成為政府與企業不得不進行的重要工作之一，而個人資料保護的資訊安全管理議題已成為眾所矚目之焦點

從隱私的角度來看，目前與個人資料有關的隱私類別，可以區分為以下四類。

資訊隱私：包括了醫療資訊、金融資訊、網路使用與社交活動記錄等，主要關注於需建立規則來妥善地管理和個人資料有關的蒐集與處理行為。 

身體隱私：與身體有關的隱私包括了所進行的身體檢查、藥物測試、基因測試，也包含了和個人有關的血統、墮胎、收養等資訊，它主要專注在與個人身體有關的各項行為。

通訊隱私：要求保護與個人通訊有關的意圖和內容，包括了傳統信件、電子郵件、電話溝通及其他可用來實現通訊行為的軟硬體設備，像是現今流行的即時通訊App等。 

領域隱私：它是和個人環境有關，這些區域包括了個人住宅、工作場所和公共區域等，主張可以用來侵擾他人領域的能力，都應受到適當的限制，例如架設可監控錄影的攝影機、要求出入需要檢查身份證件，以及其他類似的做法等。

而個人資料保護與資訊安全管理在實作上宜增加如後之控制措施：

1. 分享資訊之分級標示：宜將分享資訊區分成「僅限當事人」、「僅限特定對象」、「僅限分享資訊社群」、「公開」等層級並明顯標。

2. 敏感性資訊之過濾：一分資訊提供不同層級之分享資訊時，宜將敏感性資料(例：犯罪剖繪之具體事實等)刪減或另行表述。

3. 設置被拒絕分享資訊之申訴窗口(Information Disclaimer)：宜提供當事人無法獲取資訊之特殊要求的傾聽、瞭解並澄清疑點與困難所在之管道。

在資安的領域之中，若是談到資料的保護，實施起來並不是一件十分困難的事，只要組織的管理階層願意提供支持，同時參考資安相關的標準來建立管理制度，並且採取適當的技術控制措施，在資安方面，即可達到一定程度的防護要求，也能大幅降低因發生資安事件而對營運造成衝擊的風險。

不過，只要在保護的資料之中牽涉到個人資料，並且含括了隱私維護的要求，單靠技術層面的控管，恐怕就不足以因應法律層面的要求。因此，如果要落實個人隱私維護，就需要補充更多對法令的認識，以及對於個人隱私的認知與尊重，這和單純的資安防護比較起來，有著相當不同的思維與因應作法，也是一項更加多元的挑戰。