iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 9
0

個資保護相關法令

資安專家可能沒辦法把全世界各國資安相關法條一條條倒背如流,因此著眼點在大原則,只要大方向清楚,做事就不會犯大錯

OECD

1980年世界經濟合作暨發展組織(OECD)發布的 OECD 隱私保護及個人資料 之國傳輸指導方針,該方針已成為各國制定隱私權保護法案之依據,主要原則包含

  • 限制蒐集原則(Collection Limitation Principle) 對於個人資料的蒐集應有所限制,且應以合法、公正的手段,並經當事人同意始得蒐集
  • 資料品質原則(Data Quality Principle) 個人資料之利用預符合蒐集目的,並保持正 確性與完整性,當內容異動時即時進行更新
  • 目的明確原則(Purpose Specification Principle) 蒐集個人資料之目的應於蒐集時即明確指定, 且使用上不得有不符目的之情況產生
  • 限制利用原則(Use Limitation Principle) 除當事人同意或法律另有規定外,個人資料 之利用不得為特定目的以外之利用
  • 安全保護原則(Security Safeguards Principle) 個人資料應受合理的保護,以防範因資料遺失、損壞、未授權存取/使用/變更/揭露等造成之風險
  • 公開原則(Openness Principle) 對於個人資料的蒐集、處理及政策制定,應 以公開為原則。資料管理人聯絡資料、資料 種類及使用目的,亦需公開並容易取得
  • 個人參與原則(Individual Participation Principle) 當事人有權從資料管理者取得或確認是否擁有自己的資料、瞭解個資內容,並可請求刪除或 更正資料內容
  • 責任原則(Accountability Principle) 資料管理者必須遵守上述各項原則

EU Data Protenction / General Data Protection Regulation (GDPR)

歐盟的 GDPR 一般資料保護規範

Safe Harbor-Privacy Shield

安全港 Safe Harbor (已經沒有用了,因為沒有強制力)
https://zh.wikipedia.org/wiki/%E5%AE%89%E5%85%A8%E6%B8%AF%E5%8E%9F%E5%89%87
允許歐洲聯盟和美國雙方企業與個人能流通個人可識別資料的原則,是為了滿足政府監管和立法目的而設立的私人自我調節的政策和機制,不包括政府法規和強制條令。加入安全港協議的美國企業必須單獨從各個歐盟國家獲取授權,以免侵犯歐盟隱私法的條款。通過採用自律、規則和政府強制的公平交易、強制執行在美國也會出現。

有 限制蒐集原則(Principles) 的請記住

台灣身為亞太經合會議的一份子,必須要參考亞太經合會的規定,但是又不能完全照抄,所以只要大方向對就好,其他都是玩文字遊戲

不管是什麼原則,最重要的是獲取當事人同意

個資角色

subject / owner

個資擁有者的當事人

controller

保管個資或扛責任的人(或單位)

processor

蒐集處利利用

例子

林志玲買了豪宅,旁邊都是山,還有窗簾,結果狗仔用大砲鏡頭偷拍
周瑜民買了豪宅,旁邊都是豪宅窗戶都很大,沒有窗簾,被狗仔偷拍

周瑜民輸了,因為沒有正常的防護達成隱私期待

歐洲各國與美國對於個人隱私見解的差異

美國是以財產權為出發點,例如你在美國公司用電腦,公司是老大哥,公司想監控就監控,沒得商量

歐洲是以人格權為出發點,會尊重個人,會先訓練、考試、教育員工,如果還是不行,就真的算違法

人格權 財產權 的阿逸,共通點就是 合理/正當的隱私期待

公司內部稽核五步驟

  1. 公司資產使用公事公辦,公司會監控
  2. 上課,告訴你公司資安規定
  3. 考試,通過此考試代表了解公司資安規定
  4. login 會跳出提醒視窗
  5. 到處貼公司標語, badge 背後還有公司五件不能做和五件該做的
    這樣就沒有侵犯合理隱私期待

調閱email的準則

資訊主管在場,有監視器會同人資 法務 當事人主管,具體查詢理由

合理的隱私期待

歐洲人權法院案例Peck v United Kingdom (2003)裡面

Peck在公眾地方自殺未遂的畫面被監視器拍到,而該片段被媒體公開。歐洲人權法院裁定雖然他在公眾地方做出該行為,但因為他在那裡的行為不是一件公開的活動,而他也不是公眾人物。把片段公開使他的私人行為曝光程度,遠超過他可以預計在那裡被一般途人看到的程度,所以裁定公開該片段是對他的私隠的嚴重侵犯。

Peck v United Kingdom (2003) 36 EHRR 41 

(CCTV footage of Peck in process of trying to commit suicide in a public place) 

The European Court of Human Rights held that there was a zone of interaction of a person with others, even in a public context, which might fall within the scope of “private life”. 

The CCTV footage was of the applicant in a public street, but he was not there for the purposes of a public event nor was he a public figure. The footage was disclosed to the media including audio-visual media.

As a result, the relevant moment was viewed to an extent which far exceeded any exposure to a passer-by or to security observation and to a degree surpassing that which the applicant could possibly have foreseen. Accordingly, the court considered that the disclosure by the council constituted a serious interference with the applicant's right to respect for his private life. 

威廉王子因女友頻遭偷拍欲將狗仔隊告上法庭

 設在法國斯特拉斯堡的歐洲人權法庭7月28日作出裁決,德國政府因未能阻止新聞媒體侵犯摩納哥公主卡洛琳的隱私權,需向她支付10萬歐元的賠償金,並承擔10.5萬歐元的訴訟費及其他費用。

在哪一國的法規玩,就用哪一國的法規

美國HIPA:加密的檔案外洩 不算外洩
台灣:就算是加密的檔案外洩,也要通報 (即使解不出來)

HIPA規定:如果生前有指定代理人,或生前沒指定,但能證明自己是遺族或親密關係(小三也可,而且有辦法證明)就可以存取當事人個資

掌握OECD基本原則

  • Collection Limitation 收集限制
    ex 只是寄個email,等,應該不需要對方的電話、實體地址、GPS
  • Data Quality 資料品質
    資料要正確,例如 彣 不能打成 文+杉-木
  • Purpose Specification
    攝影機的目的是要確保場域安全,是為了保護更多人的安全,Controller可以拒絕路人刪除說拍到的畫面
  • Use Limitation 使用限制
    要用在該用的地方
  • Security Safeguards
    要有安全,參考ISO 27001,期他自己決定
  • Openness
    公開告知使用範圍
  • Individial Participation
    可以要求停止收集、要求刪除、要求副本、允許查詢,若有特殊原因可以合理拒絕
  • Accountability
    誰 對他做了什麼事,要有合理紀錄

個資沒有規定要求刪除的難易度,如果弄了一個很難處理的退出邏輯,就不會讓一堆人一直跑來要求刪除


上一篇
風險評鑑的安全等級該怎麼區分呢
下一篇
營運持續計畫(BCP)與災難復原(DR)
系列文
什麼都會一點的住海邊資安證照 cissp11

尚未有邦友留言

立即登入留言