經過「資料安全面面觀」的概略介紹資料安全的需要性之後，
在這一個區塊章節，我們透過「關於資料外洩這些事」的實際案例，
得知造成資料安全威脅與資料外洩的原因、過程與可以注意的面向。

今天在這個區塊的最後一篇，
我們要來看幾個也是近年開始關注的資料安全項目，
即包含個資、隱私與資料使用的同意管理，
當然台灣並無相關 GDPR / HIPAA 的國際性標準要求，
但當然也有相應的個資法相關法律規範，目前也將各產業納相應主管機關管轄。

個人資料的範疇

簡單根據個人可識別資料 (PII,Personal Identification Information)的定義，
基本上只要能識別出獨特個體與個人的資訊即算，
像是姓名、身分證字號、駕照號碼、護照號碼、信用卡號碼等等即是，
而針對醫藥相關的病歷資料，也有相關的 PHI, Protected Health Information.
則是包含病患紀錄、病歷號碼以及相關診斷的相關醫藥內容，
也都算是在醫療產業的範疇。

隱私與資料使用同意

而在 GDPR 法規的強制推動下，
各國開始針對資料蒐集目的，需要開始民眾的事前同意，
並且僅能將資料用於宣稱的一定範圍，
藉此限縮資料儲存與運用的層級與範疇，
避免一旦資料外洩後影響的層面牽涉過往。

而隱私權部分則是牽涉個人非經同意，
不能在公開平台、網路或大眾媒體揭露的資訊，
通常也會常與資料使用同意共同發生，
同意相關資料的蒐集、使用，並且因必要性而有相關程度的揭露程度。

同意管理 (Consent Management)

而在相關法規要求下產生的用戶同意資料，
也在近期慢慢成為被討論的範疇：
如何能以電子化技術進行同意權的撤銷、展延以及遺忘權的實施等，
也成為在大型企業對用戶提供的相關文件、宣告的一種管理，
同時也慢慢將權利透過現代化技術，讓用戶可以決定是否持續授權或取消。

資料安全與隱私保護的兩難

基本上我們在使用各種現代化應用服務，
第一時間都是要求需要同意相關資料蒐集與運用，
所以如果不同意，也就沒可能使用到相關後續的服務。
所以資料的授權使用是一種必然，
但關鍵則是會在整體資料生命週期裡有效的管制、防護與保護。

包含在搜尋引擎、社群媒體的各式數位足跡，
也都能透過 Cookies 紀錄辨識出個體行為用戶特徵，
因此在慢慢防止 Cookies 追蹤的同時，
固然提升了個人隱私保護與相關裝置資料讀取，
但相應影響的數位行銷、精準行銷也可能因此受到影響。

再者資料的授權運用，對企業端而言也是資料分析運用的最佳資料來源，
如過去常用的追蹤技術無法再有效蒐集，
取而代之的，可能就鼓勵企業開始建立個人品牌的 App，
進行會員註冊、資料同意使用的授權，跟直接合法性的資料蒐集，
慢慢建立起企業與用戶之間端對端的直接行銷，
但此時存有大量民眾個資的企業，
也就慢慢也成為了駭客團體針對、聚焦的下手目標，
故各行各業的資料本身的安全保護，也就成了未來會日益升溫的議題與挑戰。