提供個人資料保護: BS 10012

在處理個人資料時,公司面臨的二大壓力是:透明性與安全性。他們要如何確保相關人士在適當的時間取得正確的資料? 新標準BS 10012可以協助公家機關與民間企業井然有序地處理內部的資料。

多年來資訊的快速流動,全世界都身蒙其利。十年前,公司必須要處理數千兆位元的資料。五年前資料單位開始變成萬億位元。現在傳送與儲存的資料更是高達PB位元(2的50次方),比PB位元大千倍的EB位元,則是指日可待。每次都是千倍的晉級,提供了龐大的商機。

同時,資訊也開放給更多人。多種型式的資訊移動與分享也更具有立即性,但是成長與開放也要付出代價。最大的隱憂是如何確保資訊流動的每個階段,都能維持安全且不會被誤用。

全球性的問題
資訊的安全性本來就不容易維持,即使是技術最先進、最大的國際公司,顯然也無法倖免於難。例如谷歌(Google)最近展開雄心勃勃的街景專案,在世界各地拍攝以照片為主的鄉鎮城市。這個網路巨擘不得不承認在收集地圖資訊時,一直”不當地從開放式(即無密碼保護)無線網路進行負載資料的採樣”,隨即緊急聲明” 從未將那些資料用於任何的Google產品”。

Google工程研發部的資深副總 Alan Eustace五月在公司的官方部落格解釋:”在我們發現問題之後,我們立即銷毀了我們的街景車,並從我們網路上把資料區隔開來,之後切斷連接,讓資料無法被存取。”

“這個事件突顯出公共可存取、開放式、無密碼保護的無線網路的現況”。

Google堅稱這是無心之過,但此舉已經在世界各地掀起資料保護的浪潮。
康州的檢察總長Richard Blumenthal 最近在美國成立了一個37州的聯盟,要求搜尋引擎巨擘回答進一步的問題,並條列出進行未授權資料收集的特定地點。

他在一份聲明中指出:“我們將會採取所有必要的步驟,包括潛在的法律行動,以取得全面性的完整回覆。Google必須坦承,並詳細說明這種侵犯隱私的情況是怎麼發生的,以及為什麼會發生。”

維持合法性
Google的案例有效地凸顯了各行各業必須要有能力展現資料風險管理政策,是完全合情合理的。

歐盟的資訊保護則列出了儲存與處理個人資料的八大原則,包括僅限相關、精確且特定用途的資料,資料只能在必要時保存,且需完整保護。其他的行政區也有類似的原則。然而,資料保護法令,例如像英國的資料保護法案(DPA),一般並未提供確保符合規定的固定架構,而是由各家公司負責擬定適當的系統與技術。

BSI 資料保護標準 - BS 10012:2009 個人資訊管理系統的規格- 在此可以派上用場,因為這是專為緩和公司在管理個人資料的風險所開發的。公家機關與民間企業同樣適用,該標準條列出擬定穩固個人資訊管理系統(PIMS)的步驟,包括關於員工訓練與整體風險評估的決策,以及研擬資訊共享、保留、處置與揭露政策的策略。
BSI的市場開發主任Breda Corish說: “法令規定是必須要做的事情,卻沒有說要怎麼做。”

「公司必須要考慮營運所在地的各個行政區,這將建立最低的公認基準。標準提供結構完整的管理框架,符合相關行政區要求的政策細節,就可嵌入其中。」
依照確立的計畫-執行-檢查-行動(PDCA)管理方法,可以持續改善,同時也建議有效緩和風險的管理架構。

這需要委任可靠且負責的”資料控制員”,並輔以充分的資源與受過適當訓練的員工。然後條列出所有員工每日要執行的資料職責,以及確保業務用途所收集之個人資料正確分級的詳細方法。

然而,標準也確認特殊複合營運所應採行的其他方法,包括國際性公司。
Corish 說明:「如果是長程供應鏈的一部分,或是橫跨多重國度的公司,架構本身提供極優的方式,顯示這是客製化擬定的基準。」

最後,如果風險管理部分失效,還有觸發補救行動的指南,例如將違規情事通報給相關的規範機構。

利害關係人策略
長期版的BS 10012應該有助於將非授權存取與以外資料洩漏的風險降至最低,並提高個人資料處理的信心,以及展示對資料安全性的堅定承諾。生產力也會隨之提升,因為員工可以更確認他們的角色與責任。

符合標準也是前期指標,確認策略與程序的擬定,具有穩定的根基可以尋求進階標準發展的外部認證:ISO/IEC 27001:2005 資訊安全管理系統 ,展現整體資訊安全的卓越性。取得這項標準的驗證可以讓客戶、業務夥伴與稽查者,以及必須要和公司建立緊密關係的所有人更放心。

ISO/IEC 27001規定公司必須要顯示具有適當的安全性控制,以形成完整的資訊安全管理系統(ISMS)。於2005年推出,這個過程類似於BS 10012 PIMS,涉及持續的監督與維護,以取得逐步的改善。BSI的Richard Taylor是風險管理的全球產品經理,說明這二項標準之間有明確的「接觸點」。ISO/IEC 27001 提供ISMS的要求與指南,而BS 10012則是規定如何實施PIMS的詳細要求,並提供維持與改善的架構,以符合資料保護法案,這是ISO/IEC 27001所要求的一項控制。 例如顧問公司Ultima風險管理 (URM)的內部ISMS,已經取得ISO/IEC 27001驗證,但是認為 BS 10012的引入是一項重要的里程碑。 業務開發主任Liza Dargan說:「向客戶與供應商等主要關係人展現公司符合DPA,一直都是一大挑戰。」

「BS 10012代表在這方面的主要突破,並讓公司能夠展現他們可以負責任且井然有序的方式處理個人資料。」

對URM尤其重要的是這代表了最高的資訊要求標準,因為這家公司本身提供給客戶的業務是持續性的資訊安全顧問服務與訓練。」

該公司對其任務的描述是「取得適當的平衡」。
「取得適當的平衡有許多不同的觀點,但是其中最重要的一點是取得最佳的管理系統。」

Taylor同意這樣的說法。目前英國並沒有BS 10012的獨立驗證聲明,但是他說使用標準且詢問驗證事宜的公司有增加的趨勢,BSI英國辦事處將持續監測相關的情況。同時還推出了BS 10012個人資訊保護訓練課程,而以標準為基礎的驗證計畫,也已經在韓國展開。」事實上,Corish指出BS 10012 在2009年推出以來,已經引發廣泛的國際興趣,包括最近通過2010年個人資料保護法案的馬來西亞。」

共識
然而,商業持續的全球化,顯然造成合法性的複雜化。不同的轄區,仍然對資料保護立法各自為政。雖然最近有些行動朝向國際性的合作,包括建議歐盟與美國之間的「傘狀」安排,允許更大量個人資料的共用,卻沒有全球公認的行為規範。

在跨海傳輸時,如何確保資料的安全性?例如國際性採購?經濟不景氣已經導致許多公司考慮在成本低廉地區進行海外營運的潛在優勢,這表示至少要釋出部分的資訊。而BS 10012是很明確的,資訊的責任仍在於進行搜集資訊的控制者。

Corish說:「公司必須要有的一項重要認知,是他們每天分派資料的管理,對個人資訊的責任並未因此分派出去。取得資訊的公司是首要的資訊控制者。」

「而更複雜的情況是,全世界並不只有一條資訊保護法案。即使是歐洲,資訊保護法案的實施都還有一些差異。而在一些國家,差異可以反映像隱私等議題的文化立場。」

「對公司而言,這表示不只要符合營運所在地的要求,同時也必須考量跨國的不同層面」。

國際法律事務所Hunton & Williams資訊政策領導中心的全球策略顧問Richard Thomas解釋:「技術的進步所促成全球的資料流通量,遠遠超乎所有立法的範圍。國內法律面臨與跨國活動接軌的挑戰,促使提出新思維的必要性。」

更進一步模糊管轄邊界的技術,是所謂雲端運算的成長,將有些運算的需求外包給遠在千里之外的IT專業團隊。七月,英國的資訊委員會辦公室(ICO)因此條列出新的線上個人資訊實務守則,要求公司確保已經簽署明確規定資訊預期性的雲端服務契約。

守則中陳述「公司可能無法確知個人資料的處理地點,在使用網際網路服務時,不能放棄所搜集之個人資訊的控制權,或是將之暴露於安全風險之下,這是在英國持有相關資料時所不會發生的。」

保護的權力
同時,被舉發不符合規定的代價也逐漸攀升。英國主管機關最近取得新的權力,懲罰不遵守規則的公司。相較於之前的最高額罰款£5,000,從今年的四月起,對最嚴重違規的公司,可以處以高達£500,000的罰款。

Corish解釋,此處的重大考量是公司的行為是否為「魯莽危險」。重大的違規可能是意外發生的,但是資料控制者卻未能審慎地嘗試避免可能的違規。新的財務重罰尚待檢驗,但是監守人還有其他的武器。如果ICO選擇將案情公開,公司商譽將岌岌可危,而訴諸大眾的情況正持續增加。

例如五月,在一連串違反新資料規定之後,英國的健保局(NHS)成為新聞焦點,被揭露一家NHS信託單位透過沒有保全的電子郵件地址寄送病例報表,又沒有密碼保護,而另一個單位則未能將2000筆病例歸檔,之後又遺失了。在一連串的疏失之後,促使ICO將其評估公諸大眾,指出NHS必須要為所有通報的違規情勢負責。

同時,資訊委員Christopher Graham最近要求對愈來愈多的違法個人資料交易,祭出更嚴格的監禁期。許多引人矚目的資料流失都起因於疏失:電腦與其他電子裝置的遺失,或是未遵守程序,但是在去年11月,行動電話業者T-Mobile的員工蓄意將數位簽名顧客的個人資料,包括契約細目等,傳送給第三方仲介,以取得個人的利益。

Graham提出警告:「尊重資料權並不是選項。怠忽職責的公司將不只喪失公民與客戶對他們的信心,還要面對ICO的執法行動。」

艱困的未來
可以確定的是,資料保護與資訊安全性要求將不可能放鬆。
歐盟在六月提出EU資料保護指則納入英國法律所引發的挫折,如同往常的情況。雖然歐盟的原則之一是在沒有適當的保護下,資料不得傳送到別的國家,EC認為英國主管機關,事實上並沒有權力評估其他國家的資料保護政策。

其他的擔憂包括主管機關不被允許隨機檢查處理個人資訊的業者。
正義、基本權力與公民權委員" Viviane Reding批評:「沒有足夠權力的監守人,就像把看門狗綁在地下室一樣。」如果監守機關自動展示其魄力與決心,就可以讓怠忽職守的公司吃足苦頭。

資料來源:http://www.businessstandards.com/Articles/100806_bs10012.xalter