三、以整体风险管理观点实施个人资料保护信息科技解决方案
2012年,德勤与美国《富比世》杂志合作,针对全球192位大型企业高阶主管进行有关企业风险管理的调查,结果显示,超过50%以上的受访企业表示,计划将投资有关持续性风险管理与监控的信息科技解决方案,同时约33%的受访企业表示已经在建置自动化风险管理解决方案。因应《个人资料保护法》实施,近年来谈到个人资料管理科技解决方案,大多会直接联想到相关的安全防护解决方案,例如数据安全防护、加解密或稽核日志管理工具,而上述主要是个人资料控管保护作业层面的应用,若以整体企业风险管理观点出发,个人资料保护信息科技解决方案不仅要考虑风险管理对于企业价值的保护,也需要考虑企业价值的创造。因此个人资料保护风险管理科技解决方案须由个人资料管理、个人资料安全防护、个人资料事件鉴别调查等三个层面发展实施。
(一) 个人资料管理科技解决方案
有关个人资料管理科技解决方案,可以考虑对管理体系、风险评价以及个人资料数据流与个人资料清册管理等作业优先以科技辅助其运作,其他个人资料管理流程,例如当事人权利行使等流程,则可考虑整合于组织现行的相关业务流程平台实施系统运作。
1. 管理体系
个人资料保护管理机制的导入需要持续有效的运作与改善,因此组织会基于PDCA(Plan-Do-Check-Act)的循环持续运作,并通过核查作业及有效性测量指标的衡量方式,确保个人资料保护机制的有效落实。
现行的核查及矫正预防措施追踪及有效性测量指标往往以纸本及人工方式汇整及管理,借由自动化解决方案,有助于快速掌握查核结果,并实时且便于了解各部门矫正预防措施的执行情形。同时也可通过分析报表,掌握个人资料保护的运作状况,并通过有效性测量指标的统计分析结果,监控测量目标的达成,并作为高阶管理决策判断的基础。
2. 风险评鉴
《个人资料保护法》实施细则规定,安全维护事项中须包括适当的个人资料风险评估及管理机制,借由分析组织可能面临的风险与威胁,确认是否需实施风险降低或风险移转等计划,以作为选择个人资料保护控管措施的依据。
个人资料管理的涵盖范围横跨组织各部门,若个人资料保护风险评估由各部门分别进行,则不易汇整,沟通成本高,且不易从公司层级掌握风险评估结果与风险分布。自动化的解决方案将有助于各部门自行执行风险评估作业,并实时掌握个人资料侵害事件的威胁,帮助管理者整体掌握各部门的风险评估结果与改善状况,进而达到实时风险监控与报告。
3. 个人资料数据流与个人资料清册管理
个人资料管理的首要活动为针对企业个人资料数据流与个人资料窗体进行分析与盘点,依业务流程描述个人资料的流向,清楚直观地辨识出个人资料档案收集、制作、传输、使用等不同生命周期,并以此作为个人资料清册的基础。
然而目前多数组织主要通过人工及档案方式收集与管理个人资料清册信息,这不利于日后更新以及跨窗体与流程查询,通过科技辅助,可以将图像形式的个人资料数据流快速转换为数据表形式的个人资料档案清册,并且通过集中化及网页化方式,让各部门以单笔或批次方式更新及查询个人资料清册数据,以利于个人资料清册数据的维护与管理,确保个人资料清册数据的正确性与完整性。
因此通过个人资料清册自动化解决方案有助于支持当事人行使权利时查询相关窗体的流向与储存地,支持个人资料档案侵害事件处理的相关信息查询以及个人资料窗体的相关保护措施布建情形,并且有助于查询个人资料窗体的新增、异动或删除的历史纪录,以有效监控个人信息管理制度的持续有效营运。
(二) 个人资料安全防护科技解决方案
个人资料生命周期中,收集、储存、处理利用、传输与销毁等阶段皆须配备适当的安全防护措施。组织可通过个人资料管理信息环境科技评估,了解组织安全控管的缺漏,并可通过数据安全防护、数据库内容监控、安全事件管理、传输加密机制及数据库内容加密等技术解决方案,强化个人资料保护安全控管的落实与防护程度。
此外,依据《个人资料保护法》要求的实行举证责任倒置原则,组织应留存有证据能力的记录与稽核日志记录,作为提供无故意与无过失的重要证据,因此组织可借由稽核日志管理自动化解决方案,协助稽核日志的收集、储存、分析与报表制作。
(三) 个人资料事件鉴定调查科技解决方案
当发生个人资料侵害事件时,企业除了需要具有个人资料侵害事件的通报及应变机制外,还应配合《个人资料保护法》留存完整的证据,采集证据的过程亦须符合搜证程序,以提出有证据能力的记录作为善良管理义务证据。
因此在侵害事件的处理与鉴定过程中,需要数字鉴定证据收集工具,包括影像文件制作工具、硬盘复制及写保护工具,系统数据收集工具及数字鉴定分析工具等科技辅助工具,以确保数字证物被妥善保存,同时鉴定结果能成为不可避免诉讼时法庭认可的依据。
四、结语
企业应为个人资料保护管理机制的运行投入相应的资源,以尽善良管理的职责。除了在“组织”与“流程”层面建立个人资料管理组织与管理机制外,亦须考虑“信息科技”层面,以提升个人资料保护机制的落实度与有效性。此外,在引入信息科技解决方案时,除了安全防护解决方案外,更应从企业风险管理的整体观点出发采取各层面的解决方案,以使个人资料保护风险管理作业不仅能够实现企业的价值保护,进而能够实现价值创造。
隐私保护的企业现状和合规挑战
连续几年在3.15晚会上曝光的质量问题中,都涉及国内大型企业对客户隐私及信息泄露的话题。2011年的3.15晚会,曝光了电信公司贩卖手机用户信息,引起后续电信运营商对自身安全管理的再一次建设。2012年的3.15晚会,多家银行被曝内部员工出售客户信息,其中包括了国内最大及最知名的几家银行。而2012年曝光的案例中,不仅仅涉及客户信息被出售,更严重的是犯罪者利用购买来的客户信息,逐个尝试登入网银。由于银行出售的个人信息包括诸多隐私数据,致使犯罪者成功利用这些隐私信息登入网银,最终造成3000多万元的损失。
由于我国一直没有针对个人隐私保护的相关法律,所以在个人隐私保护方面,更多是由社会舆论和媒体在推动,企业并没有强制性的合规要求需要满足。因此在实施个人隐私保护方面的动力并不足够。往往是出现敏感信息泄露造成企业损失,或者媒体曝光引发公众舆论和信任危机时,才会弥补式地加强在个人隐私和敏感信息方面的保护措施。
事实上,由于移动互联技术的快速发展,企业面临的隐私保护问题日益严峻。据不完全统计,每400封电子邮件中,就有一封包含敏感信息。每2个U盘中,就有一个包含有敏感信息。在网络通信及移动介质被频繁使用,且没有建立敏感信息保护体系以及综合应用信息防泄露产品结合加密机制的情况下,很难防止隐私数据和敏感信息的泄露。
从行业来看,通常以下这些类型的行业需要关注个人隐私及敏感信息的保护:
(1) 金融行业。银行、保险和证券公司为了进行正常的金融交易,均需要收集大量的个人信息。其中银行涉及信贷及信用卡开办的业务,需要更为详细、真实的个人资料。而投保的过程中,个人住址、家庭信息等均会被保险公司收集。这些信息涉及大量的个人隐私,一旦被泄露,信息主体就会被骚扰。而相关的银行账户等也面临被恶意者利用隐私数据入侵的风险。
(2) 医疗行业。医院、卫生所、医疗设备维护机构等,在工作过程中均涉及的大量个人健康状况,是非常敏感的个人隐私信息。早在2008年,深圳市就有泄密光盘兜售十万孕产妇信息,一张光盘售价1. 2万元,内容涉及深圳70余家医院。而在2013年被曝光的某医院妇产科护士,在接生后即通过电话给多家机构和个人贩卖婴儿家庭信息,获利颇丰。
(3) 具有自主知识产权的制造及半导体等行业。发动机、半导体芯片等的研发往往需要3~4年的时间,其中涉及大量的专业人员、设备和其他资源的投入。而现在的设计图纸均以电子文档方式保存,极易被泄露。一旦被竞争对手获知,所造成的损失将难以估量。
这些行业涉及大量的个人隐私和敏感的商业信息,但在实施保护措施方面面临着诸多挑战,阻碍了这些企业建立敏感信息保护机制。具体而言,这些挑战主要有:
(1) 缺乏适当的法规、行业标准和最佳实践可以遵从。在2012年之前,我国还未颁布针对个人隐私保护的可执行的法规,并且没有明确的行业监管要求强制涉及个人隐私的特定行业对个人隐私采取适当措施进行保护。在美国,医疗行业的HIPPA法案对于涉及收集个人健康信息的多种行业进行了严格限制,并且在违反法案时会有极其严厉的处罚。在美国、欧洲、日本、中国香港及台湾,均颁布执行了与个人隐私保护相关的法律,在所辖范围内严格执行。
(2) 难以识别和管理企业内部的敏感信息。个人隐私和敏感信息会贯穿整个业务过程,涉及多个部门及岗位。而对于这些敏感信息的管理责任缺乏明确界定,是企业目前普遍存在的情况。很多时候,在进行这些信息的保护工作时,企业自然而然将此作为信息技术部门的责任。实际上,业务信息的产生、管理和使用时应当遵循的规则,应当由相应业务部门制订,并承担所有者的职责。信息技术部门仅作为信息的保管者,遵循以上规则,设计技术控制措施,并落实执行。
(3) 缺乏敏感信息保护方法和工具。从以上第二点可以看出,敏感信息贯穿于企业主要业务过程,涉及的部门和岗位众多。如果无法识别敏感信息的位置和信息泄露的渠道,则难以真正对这些信息进行保护。
虽然个人隐私和敏感信息保护面临以上诸多挑战,但是现在也有不少企业意识到了敏感信息保护的重要性,在逐步加强这方面的管理。在政策层面,2012年12月28日,十一届全国人大常委会第三十次会议审议通过了《关于加强网络信息保护的决定(草案)》(以下简称“草案”)。草案中明确定义了个人隐私信息的保护要求,其中第三条“网络服务提供商和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供”明确了对涉及收集个人电子信息的企事业单位对于保护隐私信息的责任。
在管理和技术方面,现在也有诸多公司提供专门针对敏感信息保护的咨询服务及相应防泄露产品。对于个人隐私及敏感信息的保护,企业可以参考如下步骤对自身业务过程中涉及的个人隐私和敏感信息进行保护:企业首先需要界定需要保护的信息的分类及相应等级,识别这些信息泄露的渠道。基于对信息泄露风险的识别,制订相应的访问控制策略,在信息的使用、处理、存储、传输及销毁等各环节,应用策略进行管理。而大量敏感信息在企业各部门的分布和泄露渠道的控制,则需要借助信息防泄露产品及加密技术。
管理数据隐私的利器——身份和访问管理
随着信息技术的快速发展与广泛应用,组织发展对信息技术的依赖程度日益加深,信息技术已贯穿于各类组织的运营活动中,信息资源已经成为各类组织发展必不可少的重要生产要素。随之而来的是支撑组织日常运营的应用系统、数据库、操作系统和计算机网络等IT资源日渐庞杂,管理成本逐年增加;并且随着企业IT平台的复杂化和开放化,组织和个人数据的安全管理面临很大的挑战。这些挑战包括但不限于:
(1) 业务增长迅速,越来越多的系统、设备和应用提供关键业务功能,管理和分配这些IT资源的复杂性逐渐增加。
(2) 各类用户需要频繁访问不同级别的系统、设备、应用和数据,而分散的身份管理和口令管理给用户带来了极低的访问效率和用户体验。
(3) 不同类别的用户需要不同的安全访问控制,而当前大多数组织还不具备这个能力。
(4) 组织人员变动带来更多复杂的安全隐患,包括权限蔓延、冗余身份、弱口令等安全隐患。
(5) 分散的身份和访问管理给合规性审计带来复杂度。
(6) 互联网云时代仅仅依赖边界保护已经无法保护组织和个人隐私安全。
因此,企业管理者不仅要面对组织和个人信息隐私的安全保护,还要满足内部和外部的合规要求,而要解决上述挑战,统一的身份和访问管理机制可以作为当下和未来亟待采纳的重要举措。
一、身份和访问管理发展现状
事实上,身份和访问管理(Identity and Access Management,IAM)在国际上并不是一个新概念,身份和访问管理系统在2000年前后就已经在市场上出现,并在随后几年达到了一定的规模。随着IT环境的变化,身份管理带来的问题越来越严重,例如:随着无线网络飞速发展,移动计算和远程访问越来越普遍,信息系统被非授权访问的几率显著增加,而由非授权访问带来的组织信息泄露的事件频繁发生。