個資法專欄/個資法大沖擊 其實你們可以不用失業
文/個資法專家
個資法上路後,造成壽險業、銀行業等等電話行銷諸多挑戰,上週南山人壽決定將電話行銷部關門大吉,真的是因爲個資法難管理,又或者如金管會所說:「南山人壽是基於通路策略考量暫停電話行銷業務,與個人資料保護法施行無關,還不致有其他業者跟進放棄?」▲圖/東森新聞提供。前幾年某知名銀行發生大量個資外泄事件,不是駭客,不是失誤,而是內部人員刻意將公司個資販賣給其他企業謀取獲利。由此衆多個資外泄事件來看,其實個資法對電話行銷或是各大銀行、壽險業並不是最大的阻因,個資若沒有妥善的處理,經營者或是負責人員都可能必須負起民事、刑事和行政責任,罰鍰也不再是輕如鴻毛,因此不論你企業內主管還是員工,都不能忽視「個資法」所帶來的影響。學習定期「個資盤點與稽覈紀錄」、「紙本文件與個資保護」,是自保也幫企業打劑強心針。
個資防護第一部:落實 PDCA,完善稽覈機制
個資的防護非一蹴可成,必須要經過一連串的規劃並執行以後,才能確保在個資的防護上到達一定的水準。因此,便有品管機構建立了 PDCA 機制,即規劃 (Plan)、執行 (Do)、查覈 (Check)、行動及改進 (Action)。
爲什麼需要查覈紀錄?在從前可能許多人都認爲留存稽覈紀錄是非常浪費空間的事情,只有銀行、政府等對資料異動比較敏感的機構才需要存這些稽覈紀錄。但在個資法上路以後,當面臨個資疑慮時,企業必須要有辦法舉出各種的證據來替自己「解圍」,因此若平日就保有這些資料,在發生事情的時候,就可以透過這些資料來幫助企業處理問題。對於大企業來說,由於經費相對充裕,因此在面臨個資問題的時候,可以很容易的透過外部廠商所提供的解決方案 (產品) 來解決問題。但是對於資源相對比較緊繃的中小企業來說,諮詢、顧問再加上內部相關人員的配合,其實也可以達到相當程度的保護。
稽覈紀錄的種類因爲資訊系統的設備非常多,稽覈紀錄的種類也不勝枚舉,因此我們就以資料庫型的系統作爲範例,若要達到基本的保護等級,這些種類的稽覈紀錄都是必須要的。1. 資料異動紀錄資料異動記錄主要的目的就是保留所有資料的修改異動軌跡,記錄的資料包含了 WHO (異動者)、WHEN (異動時間)、WHAT (做了什麼異動) 以及該列資料的完整紀錄。這種類型的稽覈紀錄可以完整的紀錄資料所有的異動軌跡以及作爲問題查詢用途,除此之外,當資料發生錯亂的時候也可透過此種稽覈紀錄來追蹤並還原資料。2. 查詢紀錄由於企業內部的系統非常多,操作的人也很多,爲了防止公司內部的資料遭到居心不良的人員外泄而導致公司損失,企業除了需要嚴格限制人員在不同的系統所擁有的操作權限以外,當人員查詢資料時,也必須要將查詢的行爲予以紀錄,以達到監視的效果。未來若有需要,可以透過各種設定的條件進行紀錄的查詢,對特定的事件進行稽覈及調查。3. 操作行爲紀錄除了前一點所提到的查詢紀錄以外,針對有敏感性的系統,系統也必須要同時記錄使用者的操作行爲,這種紀錄除了可以用於追蹤及釐清問題外,甚至可以透過一些分析方式,及時發現特定事件並且早期發出警報進行處理,以防止問題擴大。
完成了上述步驟,大家一定會想,若這些個資皆爲紙本文件,我們該花多大的力氣來整理、歸類、建檔,還要指配一個信的過的管理者來監控這所有的文件。我們又如何能確保整頓好的個資不會被有心人偷走??其實方法很簡單,將整理好,擁有個資的紙本文件、傳真全部掃瞄轉成電子檔(PDF),加上公司浮水印,並將資料夾分級、分類並設金鑰密碼來管理。再將原有的紙本文件消毀,既可安全的存留這些個資文件,有不會暫用過多空間。資安公司優碩科技表示:「輕量化的DRM(數位權利管理)搭配DLP(資料外泄防制)系統,能將電腦裡的個資資料以金鑰加密,能保護資料夾不被複制、修改,就算被駭客竊取。企業內部個資與機密檔案都需要先被盤點,確認範圍,才能對症下藥。可說是中小企業面對個資法的一帖良方。」
部份資料來源:硬是要學: http://www.soft4fun.net/system-security/pdca-privacy-law.htm