昨天我們講到數據隱私 (Data Privacy)，了解到原來歐盟資料保護主管機關 (EU Data Protection Authorities, DPAs) 是很「大咖」的。今天我們會正式再來了解由其衍生出來的「安全港架構」。在此之前，安總先分享一個小時候的故事。

撿垃圾的福爾摩斯

小時候我家附近一個公共大垃圾箱，就是垃圾車可以把它舉起來，然後把裡面垃圾倒給自己吃的綠色大箱子。因為那時候很無聊，就喜歡當偵探，所以我每天固定去拆某一人家的垃圾袋，看看裡面有什麼並進行分類和統計。我發現我可以知道很多事情，比方說：那一家有幾個人、今天吃了什麼、今天進行了什麼活動、發生了什麼事、今天多了什麼，以及所有紙條上透露的訊息等。

我們所報廢的硬碟 (不論是固態硬碟或是傳統硬碟)，也曝露在這樣的風險中。硬碟這種東西，最好的消滅方式就是「粉碎」它 (Disintegrator)。另外簡單帶過，硬碟啟用比特鎖 (BitLocker) 機制是很基本的：透過全磁盤加密來保護數據，在設備丟失或被盜的情況下，作為第一道防線是專業 IT 的基本功。

安全港架構 (Safe Harbor Framework)

安全港原則 (Safe Harbor Principle) 是允許歐盟 (EU) 和美國 (USA) 雙方企業與個人，能流通「個人可識別資料 (Personally Identifiable Information; PII)」的原則。

我們來仔細看裡面的歷史脈落和前因後果：「安全港協議」是指是 2000 年 12 月美國商務局跟歐洲聯盟建立的協議，它用於調整美國企業 (主詞) 進口及處理 (動詞) 歐洲公民的 PII (受詞)。該協議是響應「歐洲的意圖」而建立的折衷政策，所以，您說的沒錯，歐洲重視數據隱私的程度比較重喔。

我們來看「安全港架構七原則」，您馬上就會發現跟我們昨天講的「EU Data Protection Directory 三重點」有異曲同工之妙：

1. 告知 (Notice)：
   當個人的資料被收集與使用時，當事人必須被告知。
2. 選擇性 (Choice)：
   當事人必須擁有選擇的權利，其中包括拒絕給予其個人資料，或其個人資料被傳輸給第三方。
3. 限定轉送 (Onward Transfer)：
   公司只能向符合安全港原則的第三方轉送資料。
4. 安全性 (Security)：
   要求保管個人信息的組織必須採用合理的預防措施，以防止信息被丟失、濫用和未經授權的獲取。
5. 資料整全性 (Data Integrity)：
   要求公司所搜集的信息，必須準確與預期用途相關。
6. 可存取性 (Access)：
   個人必須擁有得知與修改其個人資料的權利。
7. 強制實行性 (Enforcement)：
   必須要有有效手段確保這些原則有效的實行。

這有什麼好處呢？安全港協議確立了折衷處理美國和歐聯之間隱私手續的框架。15 個成員國都服從該協議，這意味著可不經個人授權而進行數據轉移，而未加入安全港的美國企業必須單獨從各個歐洲國家獲取授權。

但接下來，我要再告訴您一個令人震驚的消息。

安全港協議已被歐盟法院宣告無效

2015 年 10 月，歐盟與美國之間長久以來賴以規範資料及隱私之安全港協議，被歐盟法院宣告無效後，引起各界密切的關注。取而代之的是 EU-US Privacy Shield 以及 Swiss-US Privacy Shield。此舉對於歐美兩國之電子商務活動影響甚深，像是 Google 這樣的大型科技公司，都已經更新其自我監管框架了。(那我們對美國呢？有類似的 Privacy Shield 嗎?)

它主要的邏輯和論點如下：

1. 美國公司須承諾其處理個資的義務，及個人權利之保證，且有美國法律依據可執行監督該公司之公開承諾。
2. 美國公司須提供書面保證，確保其資料透明化義務，取得個資時將受到明確的限制與監督。
3. 賦予歐盟人民數種救濟可能性 (Redress Possibilities)，對於歐盟人民的控訴，美國公司必須限期回覆。

所以做歐洲的生意的人，記得花一些工夫去看看相關的數據隱私要怎麼做喔。

企業資料等級分類

1. 極機密 (Top Secret)：
   資料遭受外洩或未經授權揭露將「影響市場競爭力」或「立即營收損失」，如：材料表、材料/零件價格、銷售價格、源代碼、License 等。
2. 機密 (Confidential)：
   資料遭受外洩或未經授權揭露將「影響與客戶關係」或「企業商譽受損」，如：需求分析資料、設計書、供應商清單等。
3. 內部使用 (Internal Use)：
   此為預設等級，我們應該要有企業內一切資料皆敏感的自覺；此項定義為「不會對企業造成明顯業務衝擊」，如：ISO 文件、標準作業程序、知識共享資料、內部教育訓練教材等。
4. 公開 (Public)：
   資訊遭受外洩或未經授權揭露「不致影響企業工作成效」，或「客戶或合作廠商對企業的信譽」。如：服務或產品目錄、公開營收或財務報表、行銷手冊、新聞或電子報等。

算是幫助我們國家之企業做資安宣導吧，希望各位能夠採納並明白其中涵義，希望貴企業能越來越好。

有一次我忽然發覺到，曼谷很適合出口到歐洲，從那時候安總就對國際貿易的實務與內在秘訣深深著迷，這是我送給自己的端午節禮物。

《圖解國貿實務》