前幾年安總想做一個大數據的專案，裡面被質問最大的就是「數據隱私 (Data Privacy)」，那個時候大數據的風潮才剛起來，法遵對此也所知甚少，安總只好自己來研究。想不到時隔多年，我們又再次見面了。

圖片來源：歐盟 (EU)

EU's Data Protection Directive

這裡面歐盟講了很多很多很多喔，我就來幫大家整理三個關鍵的個人權益保證吧：

1. 人人都有權，去存取關於他們的資料，並且知曉這些資料是怎麼被蒐集來的。
2. 人人都有權，去更正不精確的記錄。
3. 人人都有權，拒絕資料處理商所提供之合約，如有違反權益，可採取法律行動。

(事實證明，同樣的話多聽幾次您就會開始接受它、喜歡它，然後習慣它，自然而然便忘記它的存在..)

Data Privacy Requirements

還記得我們幾天前談到需求 (Requirements) 的重要性，在一開始就納入設計考慮，才有可能實現和確效喔，來，把下面這些需求加進您的工程規格吧：

1. 何種敏感資料 (Sensitive Information)，會被儲存、處理或傳輸？
2. 何種控制方法被採用，來保護組織的資料？
3. 在組織的資料中，A 客戶和 B 客戶之資料如何被隔離開來？
4. 若加密有被採納為安全控制方法，請說明該加密算法、鑰匙長度 (Key Length)，以及鑰匙如何被管理。(太棒了，下下章就會講到加密演算法囉，我還是比較喜歡用一些數學符號與邏輯推演啦~~)
5. 何種安全稽查在組織中實施？客人如何參與這個安全稽查？
6. 是否有依賴其他第三方協力廠商，作資料儲存、處理或傳輸？如果有，請提供與其之資料安全相關合約，並且相關安全性要求之應用。
7. 資料儲存、處理或傳輸，會在哪些地點發生？若有跨國之客人或供應商，有哪些應注意事項？
8. 請提供「突發事件解決和預防程序 (IRP Process)」，並且說明有發生哪些安全疑慮時，客人會被通知。
9. 客戶資料整全性 (Integrity) 與可用性 (Availability) 將如何被保證？

員工系統活動監控告知流程

哈哈，驚不驚喜，意不意外，連告知員工被監控都有流程喔，來，我畫個流程圖給您看，真的有流程操作起來才不會慌、不會亂：

1. 員工聘僱合約條款聲明 (Clauses in Employment Contracts)：
   「您不應有任何隱私權期望，當您使用集團之設備時」
2. 再於集團隱私政策宣導 (Corporate Privacy Policies)：
   「您不應有任何隱私權期望，當您使用集團之設備時」
3. 宣導標語警告 (Logo Banners Warning)：
   「警告：所有的通訊都可能被監控」
4. 電腦標籤再標示 (Labels on Computers)：
   「警告：所有的通訊都可能被監控」
5. 電話口頭警告 (Telephones Warning of Monitoring)：
   「您好，我們偵測到您有一異常之數據活動，請您...」

這套作法真的控制得很嚴密，在不同國家的隱私權法遵也未必一致。所以我建議，先了解國內外法源，再來設計各國各地企業制度喔。了解國內外法源的邦友們，也可於下方留言提供，作為這篇文章的補充。(謝謝您們)

這本算是我大數據的啟蒙書，裡面舉了日本小松公司 (做怪手的) 為例，讓人知曉數據科學的商業應用；受益良多，誠心推薦給大家。

《Big Data 大數據的獲利模式：圖解．案例．策略．實戰》