近年來,數位資訊經濟蔚為主流,個資外洩、身分竊盜等問題已無法為社會大眾所默許,隱私與個資保護一躍成為熱門議題及顯學,國際企業與組織應如何因應以避免侵犯隱私及違法,實需關注……
前言
歐盟《一般資料保護規範(General Data Protection Regulation,GDPR)》於 2018 年 5 月 25 日正式實施至今逾一年,歐盟各國已獲得超過 20 萬筆案件舉報,其中 64,000 筆確定違法,這些違法案件已經繳交 5,600 萬歐元之罰緩。重大之罰緩案件如:英國航空因客戶個資外洩事件,遭英國資訊專員辦公室 (ICO)判罰 1.83 億英鎊(約 71 億元台幣),創下 GDPR 截至目前罰款最高之案例;法國國家資訊自由委員會(CNIL)在 2019 年 1 月以 Google 未向 Android 用戶揭露如何蒐集個人資料,違反歐盟《一般資料保護規範》(General Data Protection Regulation, GDPR)因而開罰 5 千萬歐元(近 17 億元台幣)。任何可能蒐集或處理到歐盟居民個資的組織皆不能置身事外,全球掀起了一股個資保護的風暴。
GDPR 的本質就是「隱私保護」,為因應 GDPR 帶來的衝擊與避免違反法規要求,組織應針對個人資料之蒐集、處理與利用的過程及過程中的人員、技術、方法進行風險評估,找出隱含的個資風險並加以因應,而這些風險評鑑工具,就是『隱私衝擊分析(Privacy Impact Assessment, PIA)』,也是每個組織在檢視是否符合 GDPR 規定必須優先進行的分析方法。爰此,本文將為各位讀者說明隱私權的概念、相關法規及國際標準的介紹,並且示範國際規範中對 PIA 的具體要求及實務作法。
一、何謂隱私保護與個人資料保護?
(1)隱私權的定義與範圍
是源自十九世紀在美國源起的法律概念,簡言之為「不受干擾的權利(The Right to Be Let Alone)」,意謂個人對思想、情緒和感受等與自身相關事務的公開與否具有權利。根據聯合國頒布的《世界人權宣言》第十二條之定義:「任何人的私生活、家庭、住宅和通信不得任意干涉,他的榮譽和名譽不得加以攻擊。人人有權享受法律保護,以免受這種干涉或攻擊。」隱私權之範圍可包含以下:
● 個人行為(身心):免於被騷擾及對思想、 情緒和感受等事務的隱私權利
● 個人空間:免於被監視的自由
● 個人資料:防範對個人隱私資料進行蒐集、利用及洩漏
● 個人通訊:保障人民秘密通訊自由不受非法侵害
以台灣法規而言,儘管「隱私權」並非憲法所明定的權利型態,但於司法院大法官釋字第 585 號中解釋基於人性尊嚴、個人主體性之維護以及人格發展完整性等考量,仍肯定隱私權屬於受憲法第 22 條保障的人民基本權利。( 註:中華民國憲法第 22 條:「凡人民之其他自由及權利,不妨害社會秩序公共利益者,均受憲法之保障。」)
(2)隱私保護與個資保護之關聯
隨著隱私權概念的發展,人們所關切者已經從過往單純不讓他人無端干涉私人領域,逐步擴張至有權「自主決定」(Decisional Privacy),目前更已演變為「得控制與自己有關之資訊」的權利,亦即所謂的「資訊隱私權(Information Privacy)」。大法官釋字第 603 號明確指出個人享有「資訊隱私權」,得自主決定是否揭露其個人資料,並得選擇在何種範圍內、於何時、以何種方式、向何人進行揭露。「個人資料保護」的基本理念, 即根源於對隱私權的保護。有關隱私與個資的關聯參見圖一。依據台灣《個人資料保護法》之定義,個人資料指自然人之姓名、出生年月日、身分證字號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料;個人資料檔案則是指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料集合。
二、相關法規與國際標準介紹
(1)史上最嚴:歐盟《一般資料保護規範》(General Data Protection Regulation, GDPR)
於 2018 年 5 月 25 日生效,是在歐盟法律中對所有歐盟個人關於個資和隱私保護的規範,涉及了歐洲境外的個資出口,適用於與歐盟有貿易往來的所有企業(無論企業所在地為何處),廣泛的適用範圍搭配嚴謹的規範內容、高額的行政罰鍰,使得此法早在正式施行前便已受到全球性的矚目。GDPR 可分為以下幾項重點:
1. 擴大適用範圍;
2. 擴大個資定義;
3. 明確當事人同意;
4. 加重企業責任;
5. 強化當事人權利;
6. 限制個資跨境傳輸。
(2)最新出爐:美國《加州消費者隱私保護法》(The California Consumer Privacy Act,CCPA)
堪稱 GDPR 美國版的 CCPA 於 2020 年 1 月 1 日正式生效。雖然主要的保護對象為加州消費者,但任何企業只要其商業活動涉及蒐集或處理加州居民個資時,皆將受到 CCPA 的規範。施行 CCPA 的主要目標為:賦予消費者知悉企業究竟蒐集了哪些個人資訊的權利、賦予消費者拒絕企業分享或出售其個人資訊的權利、若企業未妥適保護消費者之隱私時,消費者有權請求賠償。
(3)國際標準:ISO 27701:2019 隱私資訊管理系統(PIMS)
ISO 組織於 2019 年 8 月 6 日發布的 ISO 27701:2019 隱私資訊管理系統(PIMS),為 ISO 27001 與 ISO 27002 於隱私資訊管理的延伸標準,於 ISO 27001、ISO 29100 之基礎中附加隱私資訊管理相關要求與實作指引。此外,對於先前遵循 GDPR、ISO 29100(隱私權框架)、ISO 27018(公有雲個人識別資訊保護)與 ISO 29151(個人可識別資訊保護實務)等相關規範與國際標準建立管理系統的機構,ISO 27701 也於標準之附錄中提供對應資訊,堪稱為目前展現 GDPR 合規性之最佳方案。
(4)本土法規:台灣《個人資料保護法》及《個人資料保護法施行細則》
台灣於 2012 年 10 月 1 日正式施行的《個人資料保護法》(簡稱「個資法」),取代過去僅保護經電腦處理之個資的《電腦處理個人資料保護法》,以規範個資之蒐集、處理和利用,避免人格權被侵害、促進個資之合理利用;在此法之下,更於 2016 年 3 月 15 日正式施行《個人資料保護法施行細則》。個資法在台灣對個資保護更具指標意義,此為首部全面規範各行各業、保護所有類型個資的本土法規,並加重刑罰、舉證責任落於被告方,更提供團體訴訟的選項,大幅降低一般民眾控告大型企業時發生「小蝦米對抗大鯨魚」的窘境,以徹底落實個資保護的精神。個資法的法條架構參見圖二。其餘與隱私保護相關之台灣法規,參見表一。
三、GDPR 中對個資處理之原則與要件
依據 GDPR,個人資料處理應遵循之原則如下:
● 合法性、公正性及透明度(Lawfulness, Fairness and Transparency)原則:對資料主體為合法、公正及透明之處理。
● 目的限制(Purpose Limitation)原則:蒐集目的須特定、明確及合法正當,且不得為目的以外之進階處理。
● 資料最少蒐集(Data Minimization)原則:處理個人資料應適當、相關且限於處理目的所必要者。
● 正確性(Accuracy)原則:應採取一切措施,以確保不正確之個人資料立即被刪除或更正。
● 儲存限制(Storage Limitation)原則:保存個人資料不得長於處理目的所必要之期間。
● 完整及保密(Integrity and Confidentiality)原則:處理個人資料之方式應具適當安全性,包括技術上及組織上措施,以有效防止未經授權或非法之處理、遺失、破壞或損壞。
● 問責(Accountability)原則:個人資料控管者應確實遵守上述原則,並就其符合相關原則負舉證責任。
GDPR 規範個人資料處理之合法要件,應至少符合下列要件之一:
1. 資料當事人同意為一個或多個特定目的處理其個人資料。
2. 處理係為向身為契約當事人之資料當事人履行契約所必須者,或在締約前,應資料當事人之要求,所必須採取之步驟。
3. 處理係控管者為遵守法律義務所必須者。
4. 處理係為保護資料當事人或他人重大利益所必須者。
5. 處理係為符合公共利益執行職務或委託控管者行使公權力所必須者。
6. 處理係控管者或第三者為追求正當利益之目的所必須者,但該個人資料保護之資料當事人之利益或基本權與自由優先於該等利益,特別是該資料當事人為兒童時,不適用之。
上述個人資料處理之特定目的應具合法性(Legitimate)及明確性(Explicit),並於蒐集個人資料時確定並告知當事人。個人資料應適當、相關及限於處理目的之必要範圍內(Adequate, Relevant and Limited to What Is Necessary For The Purposes),並確保個人資料之儲存期間在最小限度範圍。若個人資料之處理係以直接行銷為目的時,資料當事人應有權在任何時間機來拒絕該處理 (且毋需任何費用),包括在與直接行銷有關之範圍內建檔,且無論係原始處理或二次處理。
四、隱私衝擊分析(PIA)-概述
隱私衝擊分析(PIA)
是一個過程,用以協助組織鑑別及最小化於組織營運流程、管理政策或策略、系統、專案、計畫、商業關係…等可能涉及蒐集、處理和利用個資之活動中的隱私風險,以確知這些活動可能如何影響或損害個人隱私,進而處理個資保護風險、確保符合法令法規與國際規範中對個人隱私的基本要求、避免不必要的損失和聲譽受損。由於 PIA 涉及組織保護個人資料安全的能力,因此只要該組織擁有關於其員工、客戶和業務聯繫人等的個人資料,就應執行 PIA。每當組織擁有其它敏感資訊,或者保護個人或敏感資料的安全控制系統正在進行可能導致隱私事件的更改時,也應進行 PIA。合適地執行 PIA 可以幫助組織評估和證明如何遵守所有個資保護義務。實務操作上來說,為了避免違反法令、法規、政策和組織規約的要求,通常會針對資訊生命週期:建立(蒐集)、處理、利用、儲存、傳輸、刪除、銷毀的過程所牽涉到的作業人員、資訊技術、文書處理等作業流程,找出其中可能隱含的個人資料與資訊安全風險,以避免與個人資料有關的不當洩漏事件發生。
PIA 旨在實現三個主要目標:
(1)確保符合適用的法律、法規和隱私政策要求;
(2)識別和評估侵犯隱私或其他事件和後果的風險;
(3)確定適當的隱私控制措施,以減輕不可接受的風險。
圖三為一個人資料流程圖,呈現了組織的個資處理活動可能遭遇到的隱私風險,以及為了降低風險應有的思維與 PIA 行動:
A. 在數位領域,每天都有大量服務被創建。這些服務通常依賴於對個人資料的處理,以滿足組織或其使用者的需求。用於儲存資料的支援性資產具有不同級別的漏洞,可能發生各種事件,例如非法存取、無預期的變更或個人資料的丟失。這些風險可能會對使用者的隱私造成重大衝擊。
B. 對資料處理者及資料當事人而言,這些風險是不受歡迎的。在進行處理前,必須進行分析以了解其固有風險。有幾種因素會影響處理活動的風險性,例如被處理的資料類型。一般而言,如果處理活動符合圖三虛線框所列的任兩個準則,則可能會存在高風險,並且需要進行隱私衝擊分析。
C. 評估時首先要建立進行處理活動的脈絡,包括其目的和技術特徵。除了研究由處理活動之必要性和比例性所構成的基本原則外,還必須根據每種風險對資料當事人的權利和自由、被處理的資料、風險來源和支援性資產的潛在衝擊,對每種風險進行分析,以評估其嚴重性和可能性。
D. 一旦鑑別了風險,就應根據現有和規劃中的技術和組織措施確定風險是否可以接受。如果關於預見的措施似乎不太可行,則必須諮詢資料保護主管機關。無論如何,在執行該處理活動之前必須執行規劃的控制措施。
透過上方簡例,相信讀者已對執行 PIA 的行動和效益有所認識,而根據「國際隱私專業協會」,執行 PIA 具有以下好處:
(1)提供預警系統以偵測隱私問題,使組織在投入巨額投資之前(而非在巨額投資之後)便建立保護措施,並且及早矯正而非延遲解決問題;
(2)避免產生高昂代價或令人尷尬的隱私錯誤;
(3)提供證據表明組織試圖避免隱私風險(如受到公眾的負面關注、聲譽受損等);
(4)增強明智的決策;
(5)幫助組織獲得公眾的信任和信心向員工、承包商、客戶、普羅大眾證明組織認真看待隱私。
五﹅隱私衝擊分析(PIA)-執行
如何具體執行 PIA,一般而言可分成以下三大核心活動:
(1)個資盤點:唯有掌握組織擁有多少個資項目,才知道需要保護的標的有哪些,因此透過資料流或業務流程分析,盤點出個資清冊,內容須涵蓋蒐集、利用、處理方式;
(2) 風險處理:包含風險評鑑(評定個資之風險等級的過程)以及選擇因應的控制措施;
(3) 監控量測:與組織整體的管理系統互相接軌,持續監控及改善。
可應用於隱私衝擊評估的方法很多,本文在此列舉以下三種方法:
(1)作業資料流分析(Data Flow Analysis)
作業資料流程階段需要去描述與分析組織各項業務流程架構,以便清楚地識別及描述個人資料流在組織營運活動中的現況。一般來說,現今的企業活動,各項的業務作業流程都會牽涉到資訊作業與資訊技術的管控措施及管理活動,並且包括資訊蒐集過程、交易處理流程、交易結果回饋,與相關之文件化資訊(包含監控記錄)。
在作業資料流分析過程中,至少要識別出業務作業流程主要的個人資料節點,例如人員、文書及設備等,再考量個人資料之生命週期如何透過業務流程被蒐集、處理、利用、揭露和保存,這裡可以使用表格來呈現單一個人資料或資料集合群組的現況(如表二),與使用清楚易懂的圖形來呈現彼此的關聯(如圖五)。
(2)個人資料隱私類別分析(Privacy Analysis)
個人資料隱私類別分析目的是為了在個人資料流中,識別出是否有涉及適用於個人隱私權利之法令、法規和政策的遵循要求,這部份可透過檢查表與問卷的使用來完成(如表三),內容則可參考所在國(地)或業務活動範圍之法令、法規、主管機關要求或諮詢獲得外部隱私權、法規和技術等專家的建議,來識別個資類別、適用法規,分析主要的個資風險或是相關的弱點,其評估結果將成為個人隱私衝擊評估(PIA)報告的基礎。
(3)個人隱私衝擊分析報告(Privacy Impact Assessment Report)
藉由前述說明,最終將會產生個人隱私衝擊分析報告,在這份文件中將呈現目前隱含個資風險的評估結果,也會作為後續決定採用接受、轉移、降低或消除風險控制措施的參考依據,同時也可以是一項重要溝通工具,形成組織與利害關係人間的共識。
結論
社群網路、電子商務、雲端技術已然普及於世,而物聯網亦為未來發展趨勢,人們在生活漸趨便捷的同時,更應學習如何防護自身的隱私及個資安全。儘管還有很長的路要走,但各家企業及組織不妨考慮及早規劃 PIA 的實施,以確保未來能更有彈性地因應各地不同的隱私保護法規。
HOT 熱門文章
【企業驗證訊息】2022-05-11
【財稅專欄】2022-07-28
【專欄文章】2024-12-25
【國際標準新知】2024-12-05
【國際標準新知】2024-12-05