Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~

本篇是 建構安全軟體開發 系列文的 EP06。

本篇來說說近年來比較受到矚目 "資訊安全" 的議題 "Pravicy" 通常作 "隱私權" 來解釋，而也會常被解釋成 Personally Identifiable Information(個人身份識別資訊)，簡稱 PII(個資)。

對，隱私權是被拉高到 "資安" 的等級，請不要小覷這個議題，在下一篇 EP07 當中，討論各種資安標準規範時就會看到。

下面列出幾個比較常被提到的隱私權法案:

• CCPA 美國加州消費者隱私法
• GDPR 歐盟的一般資料保護規定
• OECD Privacy Guidelines 經濟合作暨發展組織隱私權指引
• Personal Data Protection Act 台灣的個人資料保護法

雖然無論在建置各種軟硬體的系統時，是否會注重隱私的問題，實務上仍取決於是否有被當地/外國的政府干涉與要求。

例如 D-Link 友訊科技 在常見的大眾認知中就是一家作網路通訊設備的公司，但近年來因為在美國的 FTC(聯邦貿易委員會) 強力要求的壓力下，不得不承諾要加強與改善旗下網路通訊設備的安全性與隱私注重問題。

2017 年 FTC 發佈的新聞:
FTC Charges D-Link Put Consumers’ Privacy at Risk Due to the Inadequate Security of Its Computer Routers and Cameras

2019 年 FTC 發佈的新聞:
D-Link Agrees to Make Security Enhancements to Settle FTC Litigation

但因為上述幾個重要的隱私權法規大致上，就已涵蓋了其開發的程式/軟硬體/應用，所要服務的各地區的使用用戶，所以仍是要格外小心與注意其規範。

個資的保護

當有要進行個資的收集須存在以下四個要件:

• Purpose (目的)
• Scope (範圍)
• Inform (告知)
• Consent (許可)

滿足以上四項條件才可進行相關的個資收集，且當其收集的 "目的" 消失時，其個資的使用效力就應該被消滅才是。

所以，當有任何超過此四項要件的使用收集來的資料時，亦即侵犯了個資，也就是有侵犯隱私權的問題發生。

當然上述的四項要件只是基本通則，若所在的區域/國家有法律上更明確的規範與定義，則須依照法律規定執行。

而若是台灣的個人資料保護法 第 2 條第一項 即有明確定義出 "個人資料" 是那些(至少明確寫出的就一定要處理)；第 6 條第一項也載明了哪些領域該特別處理。

喔~對了!

台灣的個人資料保護法 第 51 條 則載明了，只要蒐集到我們國民個資的組織，不管這組織有沒有歸台灣管理，都適用本法(這跟 GDPR 的設計一樣，只要是收集到歐盟成員國國民的個資，都歸 GDPR 管理)，但就看對方有沒有要理的問題...

另外，各部隱私權法規大概也都有強調一件事，個人有權利請求 "刪除" 被收集的個資。台灣的個人資料保護法 第 3 條，也有特別載明這件事情。

從條文中可以看出台灣個資法的法律位階比其他法律來的低，所以不要期待可以刪除刑事案件等犯罪紀錄的這種事情。

以上，確實都只是法律上的規範，若沒遵守又會怎麼樣，這就回到一開始 EP01 就有提的觀點了，若沒作好個資保護就是損害利益關係人的事，就是在傷害 資產，因此就出現了 DPIA 的議題。

DPIA - Data Protection Impact Assessments (資料保護影響評估)

當處理可能對個人資訊產生高風險的議題時，就得作其資料保護影響評估。尤其是 GDPR 第 35 條中所舉到的規範，就必須進行資料保護影響評估。

詳細規範談很多，大概歸納成以下三大方向者即得作 DPIA:

• 對個人特徵資料進行系統性、廣泛性的收集。
  Ex: 銀行使用內部資料作族群客戶的篩選，電信公司行銷單位要進行族群調查。

• 大規模的個人敏感資料處理。
  Ex: 疫苗施打效價資料、醫院要對院內的 B 型肝炎患者進行資料研究。

• 進行大規模的公共區域/服務的系統性監測。
  Ex: 客運公司要在車上設置監視器、Gogoro 要在換電站設置監視器。

完成 DPIA 後，需提交給該組織的資料保護長或顧問進行諮詢，並定期檢視(GDPR 是要求至少三年一次)，並把 DPIA 的結果採納至該專案或軟體發展的進程之中，而非只是形式上的流程。

由於透過 DPIA 能早期發現到個人資料保護的問題，這就意味著能在早期進行處理時的成本的問題就越低，日後的真的發生糾紛或損害時的成本將會高於這些付出。

這在某種程度上跟 Cost of Quality 的概念接近:

上圖取自 Cost of Quality (COQ) – Cost of Conformance vs. Cost of Non-Conformance 圖 COQ。

資料匿名化的影響

當然，如果所有資料的使用都拿隱私來作為考量的前提，那很多事情就無法做下去了，例如資料分析、數據統計、醫學研究...等。

所以就有個處理此問題的概念被提出 Differential Privacy(差分隱私) ，其實質做法有幾種:

• Replacement (替換法) - 替換掉可識別個體資料的概念就是如此，常見的 王大明，陳筱玲(內政部身分證樣張)。
• Suppression (省略化) - 在公佈資料中刪去跟個人有關的資料，常見的 王OO、李XX。
• Generalization (通用化) - 在資料中針對資料作特定資訊的調整，例如公開生日資訊時不提及年份單位。
• Perturbation (擾動化) - 透過特定的隨機資料的安插處理，常被用於資料需要被用來進行測試時的作法。

Privacy Shield Program (隱私盾計畫)

這個隱私盾計畫裡提到，如果要認真考量相關隱私權問題，並且在歐盟、瑞士、美國等國進行商業單位的個人資料移轉的過程，此隱私盾計畫的審查與認證是必要考慮的。

該計畫當中已經有認證完成的公司可在此列表當中查到:
https://www.privacyshield.gov/list

科技巨頭的隱私權政策

• Apple:
  https://www.apple.com/privacy/

• Amazon AWS:
  https://aws.amazon.com/privacy/

• Facebook(Meta):
  https://www.facebook.com/privacy/policy

• Google:
  https://policies.google.com/privacy

• Microsoft:
  https://privacy.microsoft.com/