個資保護計畫的關鍵要素

個人隱私數據洩漏的數值是驚人的。在2016 年，在已通報的974 筆外洩事故中，其記錄筆數即高達 554,454,942 筆紀錄。¹ 剖析受影響的資料類型可發現，48%的事件與個人可識別資訊(personally identifiable information: PII) 有關，27%則是現金卡以及信用卡資料，以及11% 屬於醫療健康資訊 (physical health information: PHI)。²

導致個人隱私事件的根本原因：包含了資料處理委外、惡意的內部人士、系統故障、網路攻擊、或是個人隱私數據未恰當絞碎或銷毁。數據違反案例的人為因素是社會工程的結果，財務假託詐騙(以虛偽藉口，獲取個人資訊的方法)，數位勒索、內部威脅、夥伴成員誤用。³ 至於透過的管道設備包含了USB 病毒感染、未經授權網路連接（rogue network conntections）、操控帳目餘額、以及後門帳戶連線。組態弱點遭利用以及惡意軟體也都是數據遭入侵的原因。

本文將闡述許多隱私權的概念以作為隱私保護的入門。所闡述的主題包括：隱私的類別、隱私保護官privacy officer (PO)所關注的事項、治理策略、隱私保護控制以及個資保護計畫。

隱私種類

ISACA已識別公布了企業所應注意的七大隱私種類，如下列表 1。⁴

隱私資訊的相關議題

為了處理個人以及組織的隱私保護事宜，因此衍生了隱私保護官的職位。表2⁵ 展示了數據議題、風險範圍以及隱私保護官所應考量的問題。

所列的這些議題有助於確認工作的範疇以及複雜度。數據治理方法以及需要採用的技術包括：數據識別、保護措施、入侵偵測監控以及回報、隱私事件或事故的回應、以及組織如何回復正常運作(如果真的發生的話)。

治理活動

隱私治理需要依個別組織發展所需的客製化策略。治理活動應該包括：

• 確認利害關係人以及內部夥伴關係。
• 發展包含目的、目標的願景、任務以及價值聲明。這項資訊為整個隱私政策發展歷程以及隱私保護章程的參考與依據。
• 建立組織聯結以確保合作關係以及效率。
• 訂隱私政策(下文會描述)，包括：警告標語；系統破壞警告；聯絡關鍵連絡人；以及回應、遏止、復原流程及程序。
• 建立數據治理政策，包含資料蒐集、授權使用、存取控制、資料安全以及資料或資訊的銷毀。關鍵的功能層面包括：針對系統破壞的評估、保護、持續性營運保護以及回報。
• 編列隱私保護預算，以因應外部支援活動以及應變計畫支出。相關費用包括了鑑識調查、知會受害者、客服中心支援、外部諮詢(如：訴訟費用)、安全強化措施、收入以及股票價值的損失、保險、矯正措施、懲罰(如：民事懲處以及罰款)、顧客關懷、卡片更換、受害者損失以及機會成本。
• 執行衝擊評估與稽核。個人隱私衝擊分析(privacy impact assessment：PIA) 問卷可用來告知隱私保護官在資訊系統開發或是更改時可能需要注意的可能議題與潛在問題。個人隱私衝擊分析應該識別數據的種類、被影響的人群範圍、資訊的類型、任何新取得的資訊，以及其他先前所提及的議題。
• 個資稽核可以測量有效性、展現遵循程度、提高認知、揭露缺失，作為矯正計畫的基礎。個人隱私衝擊分析可以包括不同層級，如：部門、系統以及流程。
• 建立一個持續性監控計畫。隱私保護官是否有收到系統監督以及網路存取的追蹤資訊？隱私保護官是否被告知獨立或者是內部制度評估的結果？這些評估是否涵蓋了所要必要的隱私控制(如下節所述)？所有的矯正行動是否都已被落實以降低隱私事故的可能 性？未遵循事項追蹤報告應該可回答此類答案，像是發生什麼、在哪裡、何時、為什麼、與誰有關以及如何改善。
• 制定衡量指標。衡量指標應該要具體、簡單、可管理的、可執行的、攸關/結果導向的、而且具即時性(統稱為：SMART)。隱私衡量指標的例子包括：具隱私數據的系統數量、數據流失的比例、隱私事故的次數、被影響的系統數目、事故發生的間隔平均時間以及恢復的平均時間。隱私事故或許不總是大量或是與電腦系統相關，也可能只是發生規模微小(像是身分遭盜竊)。
• 推行隱私事件回應計畫（ privacy incident response plan：PIRP)為了能快速回應數據外洩，隱私保護官必須知情所有的違反事件並且得知數據以及系統外洩的相關資訊。外洩通報計畫應該包含問卷/表格、角色以及責任、聯絡資訊對象(像是保全、管理階層、法務、公共關係、主管機關)、以及連繫程序。
• 提供資訊隱私認知以及訓練計畫。宣傳手冊以及文件提供給予內部人員和約僱人員。所有員工，事業夥伴，以及約僱人員都需要被訓練有關隱私政 策以及流程。
• 發展一個可以解釋隱私保護計畫內容以及相關問題接洽人員聯絡資訊的公共網站，這個網站也可提供常見問答集資訊。
• 確定應變及災後復原計畫可以回復資料。

隱私控制

有四種隱私控制：管理、電腦執行、商業運作、以及科技。推行隱私控制對於成功的隱私保護計畫是重要的。如果時間允許，這些隱私控制可依以下次序推行：識別應關切的區域、執行保護措施、建立偵測機制以及執行回饋於管理階層等作法。

四種隱私控制描述如下：⁶

1. 管理控制

• 識別—應明確識別的責任，包括將法定授權文件化、審議個資的新增使用範圍、以及擁有一份個資流程以及系統的盤點清單。
• 保護措施—管理階層必須監測法律的變動；指派隱私保護官；提供經費；更新流程以及工具；解釋隱私計畫；分派角色以及責任；定義在合約、採購文件以及網站上的隱私聲明；公告隱私通知、政策以及流程；發展策略性的隱私保護計畫；識別並且解釋個資被收集的原因；限制個資的蒐集以及保留期限；設計可以支援隱私權的系統(如：數據最小化)；發布數據完整性的指導原則；外部資訊分享協議；指定一個數據完整性團隊負責保存個資。
• 偵測—這項活動包含了個人隱私衝擊分析、評估風險以及事故追蹤。
• 回應管理—該活動包含了依據法律向管理階層回報以及對主管機構進行事故回報。

2. 電腦運作控制

• 識別—識別出已被入侵的系統以及檔案。
• 保護措施—包括了實施以及維持資料保護； 外溢防止系統（ spillage preventaion systems）；在測試、訓練以及研究過程時保護個資；發展以及維持隱私事故回應計畫；以及培訓與監督人員。
• 偵測—電腦運作需要產出為管理階層所編制的事件和活動報告。
• 回應管理—職責包括鑑識支援訓練、外溢和數據洩露警報、照管理階層的要求使用經准許的程序刪除以及銷毀個資。

3. 企業營運控制

• 識別—識別受到影響的企業作業活動。
• 保護措施—包括核准網頁內容，解釋同意範圍以及資訊使用程序，以及必要時獲得受影響人員的同意。
• 偵測—這項活動包括監測企業活動的舞弊，身份失竊以及數據濫用。
• 回應管理—該領域涵蓋數據洩漏處理活動，跟踪和保留被披露的記錄，通知受影響者，向請求者提供信息，糾正錯誤的個資，解釋個人權利，管理 投訴以及應對隱私洩漏事件。

4. .技術控制

• 識別—這項活動包括審查以及評估保全工具以及判斷是否需要使用其他工具？
• 保護措施—措施包括帳戶認證（例如，使用密碼帳戶）；提供使用者識別卡；使用多因素身份驗證，自動逾時斷線和外部/遠端存取控制；傳輸和靜止時的數據加密，網路保護設備和軟體；軟體更新和補丁；數據完整性控制；技術控制測試；根據政府法規清理和銷毀數據。
• 偵測—此類別包括使用資料採礦軟體和網路偵測技術。它還可以包括使用系統基礎設施和建築物設備中的監控軟體，以及系統和應用系統交易稽核控制。
• 回應管理—需要配合使用電腦鑑識分析技術和軟體。

個資保護計畫

個資保護計畫必須包括給予管理階層的資訊、數據處理程序(例如：數據中心或是服務提供商)、營運活動以及技術控制。計畫內容必須涵蓋以下內容：

• 權責單位列表—此列表標識誰指揮合規性和報告要求，也可能包括指導原則和依據標準的來源。
• 定義—必須定義隱私數據的類型以支持計劃中所包含的資訊。
• 範圍以及目的—計劃應說明受計劃影響的對象，計劃的一般描述及其編寫原因。
• 角色和職責—角色和職責 - 隱私計劃中需要列出各個企業領域的角色，包括隱私保護官、資訊安全辦公室、法務部門、人力資源、公共關係、行 銷、事業發展，財務和客戶服務。每個領域都必須知道需要傳達什麼、需要做什麼、以及作業順序和時間框架。這應該通過培訓和定期沙盤推演來加以補強。
• 個資控制—該計劃應描述四類控制（上述所提及）的要求，以及如何實行控制。
• 其他考量因素—該計劃的這一部分將涉及未涵蓋的治理決策領域，並可趨向於產業或個人所關注領域（例如，財務，醫療）。也可能需要一份首字母縮詞列表。

結論

隱私保護官必須識別數據、了解企業的數據用途、保護數據、檢測數據何時處於危險或已暴露，並知道如何因應以及應執行事項。加入個資保護相關協會，訂閱與隱私保護相關期刊，遵循最佳個資保護組織最佳實務和擁有完整的個資保護計劃將有助於保護數據和所有當事人。

Endnotes

¹ Gemalto, 2016 It’s All About Identity Theft, 2016, www6.gemalto.com/breach-level-index-report-1H-2016-press-release
² Verizon, 2016 Data Breach Investigations Report, 2016
³ Verizon, Verizon Data Breach Digest: Perspective Is Reality, 2017, www.verizonenterprise.com/resources/reports/rp_data-breach-digest_xg_en.pdf
⁴ ISACA, “The Seven Categories of Privacy That Every Enterprise Must Address,” www.isaca.org/knowledge-center/research/researchdeliverables/pages/isaca-privacy-principles-and-program-management-guide.aspx
⁵ International Association of Privacy Professionals (IAPP), Privacy Program Management: Tools for Managing Privacy Within Your Organization, USA, 2013
⁶ National Institute of Standards and Technology (NIST), Security and Privacy Controls for Federal Information Systems and Organizations, Special Publication (SP) 800-53 Rev. 4, USA, 2013, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 4, 2017 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明：
ISACA臺灣分會在ISACA總會的授權之下，摘錄ISACA Journal 2017,Volume 4中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。。

Copyright
© 2017 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明：
© 2017 of Information Systems Audit and Control Association (“ISACA”). 版權所有，非經ISACA書面授權，不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明：
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織，其會員則有權獲得每 ISACA JOURNAL 摘譯文章 15 年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見，其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左，也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學，則允許教師免費複印單篇文章。若為其他用途之複製，重印或再版，則必須獲得ISACA的書面許可。如有需要，欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心，地址：27 Congress St., Salem, MA 01970) 付費，每篇文章收取2.50 元美金固定費用，每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用，並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外，其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。