新版《个人资料保护法》参考APEC隐私保护纲领,各行各业都将受到新规范的影响,即便是过往已遵循《电脑处理个人资料保护法》的产业,其遵循程度仍不够彻底。综观亚太其他地区(如中国香港、日本与韩国等),其个人资料保护的法令进程与个人资料保护意识均较台湾成熟,对于台湾即将面临的个人资料保护的挑战,或可作为借鉴参考。
德勤在研究了台湾与各地的个人资料保护相关法令法规以及国际标准要求,并融合各产业的个人资料项目经验后,对于个人资料保护机制提出“五个方面与七个步骤”,作为执行个人资料保护的参考。五个方面是:①组织本身;②委托机构;③当事人权利;④预防机制;⑤事后应变)。七个步骤是:①制订法令基准;②盘点个人资料;③了解风险程度;④设计管理机制;⑤确实遵循机制;⑥进行机制核查;⑦持续矫正预防。
各产业因其特性不同,对于新版《个人资料保护法》的规范的确会有窒碍难行之处,以下提出各产业可能面临的冲击。
金融业以往有许多间接搜集个人资料的情况(如信用卡申请书上除申请人的资料外还有其他联络人的信息),若都要在《个人资料保护法》实行后一年内完成告知,则告知将耗费巨额成本。此外,若考虑删除此间接搜集的个人资料,部分以特殊形式存在的个人资料则难以完全辨识与删除。
无实体店面的产业在搜集个人资料时以网页形式达成契约关系,并在网页中进行告知作业,但如遇特定目的外的利用时,《个人资料保护法》又规定必须获得当事人的书面同意,故业者往往需要以实体信件寄给当事人以获得同意,或是建立一套符合数字签名原则的身份认证机制,而这皆需耗费高额成本。
以上的两个例子仅是冰山一角,新版《个人资料保护法》已取消行业的限制,各行各业均会受到冲击,在遵法的议题中,不管法律制定的宽松程度如何,法令遵循与业务收益之间的冲突是难解的议题。
在企业进行个人资料保护的作业时,还有另一个难解之题,即个人资料保护的治理架构。在台湾《电脑处理个人资料保护法》的时代,个人资料保护的议题理所当然被认为属于资讯部门,然而新版《个人资料保护法》公布后,此议题将涉及企业内所有可能接触到个人资料的部门,基本上就是企业内的所有部门。如何把负责个人资料保护作业的权责拓展至各部门,并找出一个主持大局,统筹各部门的人或组织来推动个人资料保护亦是一门学问。只要企业的个人资料保护角色权责能够明确,推行个人资料保护即会事半功倍,并一路顺畅。
若企业了解了法令,明确了个人资料保护的组织,接下来面临的问题就是找出个人资料。大部分企业的问题在于不能明确地辨别哪些是个人资料,或存在个人资料遗漏的不安全感,这些问题都是因为个人档案会在组织内流动而非静止,各部门若是各自盘点个人资料,势必会有漏缺的情况。盘点个人资料,除了须花费时间、人力资源外,盘点的方法也非常重要,好的方法可以让盘点过程更完整、更顺利。
虽说个人资料保护是合规的议题,但信息安全的部分亦不容忽略。举例来说,个人资料进行传输时,为了保护其机密性,可以将其压缩并加密,再用电子邮件进行传输;而以电子文件形式存在的个人资料在删除时,为了使其消失不复存在,可以使用Shift+Del进行删除。但上述的两个案例都不是绝对的,对于安全控管的议题,并没有标准答案。所以企业常会问:“要买什么产品才可以达到保护个人资料的目标?”、“这样的保护程度就足够了吗?”企业常会质疑,科技产品日新月异,到底要使用何种新颖的防护设备才能防止个人资料受侵害,而旧的产品是否都要淘汰?如果盲目地追逐新技术,则企业要付出的成本将永无止境,但不这样做,合规的风险又会很高。建议企业应落实个人资料管理风险分析与评估作业,在设计控管与资源提供时,必须彻底了解自身情况,理性地找到平衡点。
最后,所有的企业都会问一个问题:“实施了所有的个人资料保护措施,个人资料就不会外泄了吗?”或者是进一步问:“如果都做了,个人资料外泄时还会被罚吗?”最终的答案都是:“这要看法官的心证”。基于《个人资料保护法》的概念,如果能证明企业是无故意无过失,即无需被罚。只是企业要完全证明其无过失责任,以法律观点而论较难以达成,只要发生个人资料外泄,势必还是会被罚,只是做得好,罚得会比较轻。处理得当,可以提升客户对企业的信赖感,亦可提升企业形象,进而创造价值。
个人资料保护的实践只是企业经营过程中的一段插曲,过程中的风险从来不会消失,企业必须在风险中寻找创造价值的能力。
个人信息保护趋势浅谈
信息科技和通信网络的持续发展让信息交流和传递变得方便而迅捷,存储设备的发展亦令海量数据的存储和携带变得非常容易。人们在享受信息技术和网络的发展带来的高效和便利的同时,也时时担忧个人信息的丢失和泄漏。同时,随着全球化业务的持续发展,个人信息保护也成为国际业务交流中一项重要指标条件。近年来,频繁发生的个人信息泄漏恶性事件更是将个人信息保护推向了风口浪尖,社会对个人信息保护的关注进入到一个新的高度。
2013年3月,云计算笔记应用Evernote向近5000万用户发出重置密码的通知。Evernote表示,近期遭遇了黑客攻击,导致大量用户名、电子邮件地址和加密密码泄漏。[1]2013年3月,有消息称支付宝转账信息能够被搜索引擎抓取,致使大量用户个人信息泄漏。[2]2013年2月,据新闻报道,********80万份保单信息可在众宜风险管理网任意查询,随后********发出公告证实消息属实并指出此事故是相关网站升级操作失误所致。[3]2013年4月,北京警方通报称,近期连续破获两个有组织的侵害公民个人信息的犯罪团伙,抓获92名犯罪嫌疑人,在其中一起案件中,多名保险公司工作人员先后出售20余万条客户信息,被诈骗团伙利用后骗得300余万元。[4]
个人信息泄漏,特别是带有商业价值的个人敏感信息泄漏并遭挪用会给企业造成巨大的经济损失,给相关个人带来精神及名誉伤害。美国FBI于2005年进行的一项调查显示,个人敏感信息泄漏事件的平均损失高达16.7万美元。次年8月,美国司法部的一项研究更是将这一数字提高到150万美元。另外,根据美国市场研究机构Ponemon的一项研究显示,每条泄漏记录的平均损失为86美元,而这些数据的机会成本更是高达每条记录98美元。一家曾发生过数据泄漏事件的美国保险公司更公开表示,其在一次数据泄漏事件中的总损失高达410万美元,平均每条记录损失15美元。
国际著名研究公司Forrester在2007年调查了28家曾发生过数据泄漏事件的公司,其中过半的受访者将数据泄漏后的安全与审计策略的调整成本列为首要损失;而43%的受访者将数据泄漏事件后的客户通知、市场与安全反应以及商业机会损失的成本列为首要损失;同时,39%的受访者称遭受了显著的声誉损失,而25%的受访者称将面临司法处分。[5]
信息泄漏事件的频发及其造成影响的日益严重,人们对自身个人信息的保护意识日益加强,如何有效管理个人信息以及全面保障个人信息免受非法侵害已经成为了国内外热门话题。
有关个人信息保护的原则最重要的是经济合作与发展组织(OrganizationforEconomicCo-operation and Development, OECD)在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的8项原则,[6]概括为开放性、个人参与、责任、使用限制、数据质量、收集限制、特殊目的与安全(见表1)。
许多国家以此8项核心原则为依据制定本国的个人信息保护法,并在此基础上不断进行补充和完善。早在1995年,欧盟就出台了涵盖广泛并极具前瞻性的《个人数据保护指令》。1998年6月,美国电子工业协会、美国工商协会和AOL、AT&T、IBM、Bank of America等100多家主要团体和企业成立了在线隐私联盟(Online Privacy Alliances,OPA),发布了《在线隐私指导》。中国台湾地区于1995年出台了《电脑处理个人资料保护法》。次年中国香港出台《个人资料私隐条例》。在中国大陆,2006年大连市推出针对个人信息保护的地区性规定——《大连软件及信息服务业个人信息保护规范》,而改革开放之先锋的深圳也于2010年提出了个人信息保护的立法起草。在2013年中国两会上,政协委员张近东提交了加快制定《互联网个人信息保护法》的提案。
2012年第2季度,上文提及的国际著名研究公司Forrester发表了《Forrsights Security Survey Q2 2012》,其中对当年个人信息数据泄漏事件进行了调研分析。结果显示,信息数据泄漏的源头分为内部组织和外部合作方,其中绝大部分的信息数据泄漏源自企业内部事件,包括公司资产丢失/被盗、内部人员使用不当、针对公司服务器或用户的外部攻击以及内部人员恶意滥用等。
德勤根据多个行业的调查研究和各种类型项目的经验进一步总结出,组织内部泄密风险存在于整个信息处理过程中。信息处理过程围绕着数据信息的生命周期展开,信息生命周期主要分为5个阶段在缺陷或在个人信息的获取过程中发生资料泄漏等都是个人信息泄漏风险。再者,在信息存储方面同样容易出现泄漏风险。信息的储存介质有纸、胶卷、计算机等,在各种介质中储存的信息都有丢失和被窃取的风险。此外,个人信息的使用如果无法确定使用范围及使用目的,使用信息时就可能引起内外部传播、滥用信息等情况,此时就存在极高的泄漏风险。因此,对于个人信息的管理和保护,我们必须站在信息生命周期的宏观角度进行规划,再深入每个具体过程进行分析和把控。
为了进一步完善有效的控制机制,国内外各机构和组织以个人信息生命周期为模型积极制定一系列指引标准来保护隐私。英国标准协会以戴明环PDCA循环模型(P-Plan; D-Do; C-Check;A-Action)为基础建立了有关个人信息保护指引标准BS10012:2009个人信息管理体系(Personal Information Management System, PIMS),其中第4.7项规定,在收集信息时,收集最低限度的个人信息而不是过多的个人信息;第4.2和4.13项规定,对存储个人信息的设备需加以维护,保证个人信息存储安全;第4.8项规定,确保个人信息仅用于一个或多个指定的目的,而不能为了其他目的对原信息做进一步的处理;第4.14项规定,当个人信息在内外部传输时,要有足够的保障机制保护个人信息等。总体来说,BS10012标准规范几乎覆盖了个人信息生命周期的每一阶段。我国近年来也启动了个人信息保护的相关工作。2012年,国家工信部直属的中国软件测评中心联合30多家单位制定并出台了《信息安全技术、公共及商用服务信息系统个人信息保护指南》,这是我国首个个人信息保护国家标准,于2013年2月1日正式实行。标准对信息系统中的个人信息处理过程的收集、加工、转移、删除阶段进行了规范指引。
个人信息保护的立法正如火如荼地进行着,对于企业而言,建立信息安全机制已迫在眉睫。保护重要的个人信息数据使其免遭泄漏,既可避免声誉受损、客户资源的流失以及严厉的司法处分,又利于保持企业在商业社会的有效竞争力。而一旦这些重要数据外泄,将造成企业重要资产的流失。根据国际隐私权专家协会于2012年针对美国、加拿大、欧洲、亚太平洋等地区的一项调查显示,虽然符合监管机构的法
规要求是信息安全投入的最大动因,但降低风险、保护数据紧随其后,成为第二动因。[7]他山之石,可以攻玉。随着国内企业跨国业务的快速发展以及企业人员国际视野的日益提高,企业对信息安全的关注重点也将逐步转移到风险管理和数据保护等具体层面。目前我国已有众多企业开始采取积极行动,更加主动地关注数据安全,并将数据分析应用于业务的拓展。国内企业开始意识到保护客户个人信息不单单能够满足客户和业务合作伙伴的期望,提高企业的品牌和公信力,提供有竞争力的差异,更能够减少数据存储成本并增加交叉销售和直销的收入。
数据及个人信息安全保护是科技及互联网不断发展的必然产物。企业通过保护数据及个人信息的安全,可以将名誉损失、客户流失以及司法处分等风险降到最低,更可以保护在大数据时代中最重要且核心的资源——数据,并对数据进行有效组织与分析,应用于商业实践,促进企业不断健康地发展。
企业因应个人资料保护的建议——基于组织、流程、信息科技层面