⚠️ 免責聲明
本文為學習筆記與模擬教學，引用國際標準（ISO、NIST、ENISA）、GDPR 與台灣法規。非正式教材，實際落地需依組織政策與法規遵循。

一、核心定義

• PII（Personally Identifiable Information，個人可識別資訊）

  • NIST 定義：可單獨或結合其他資訊識別個體的任何資訊。
  • 範例：姓名、身分證號、電話、位置。
  • NIST SP 800-122

• SPII（Sensitive PII，敏感個資）

  • GDPR 與 ISO 定義：若外洩，對個人權利與自由造成高度風險的個資。
  • 範例：醫療紀錄、生物特徵、財務帳號、宗教信仰、政治傾向。
  • GDPR 第 9 條列為「特殊類別個資」。

• 台灣《個資法》

  • 對應 GDPR 的 SPII 為「特種個資」，包含醫療、基因、性生活、健康檔案、犯罪紀錄。
  • 使用需經明確告知、當事人同意或法律授權。

二、國際標準對應

ISO/IEC 27001:2022

• 要求組織建立 ISMS，針對個資與敏感資訊進行分級保護。
• Annex A 控制（如 A.5.12 Data masking、A.8.10 Information deletion）可直接應用於個資管理。

ISO/IEC 27701（Privacy Information Management, PIMS）

• 延伸自 ISO/IEC 27001 與 27002，用於隱私資訊管理。

• 2019 年第一版，提供組織如何保護 PII 的具體要求與實務指引。

• 2025 年 10 月將發佈第二版（Edition 2），取代 2019 版 ：

  • 與 ISO/IEC 27001:2022 的新控制集對齊
  • 加強 跨境資料傳輸規範
  • 補充 AI 與大數據情境下的隱私風險 指引
  • 強化 持續改善與問責 (accountability)

• 官方頁面：https://www.iso.org/standard/85819.html

👉 意涵：未來台灣與國際組織若要證明 GDPR、CCPA 等隱私合規性，ISO/IEC 27701 第二版將成為關鍵認證依據。

三、資料分級矩陣

四、案例

國際案例

• Meta GDPR 罰款（2023）

  • 跨境傳輸歐盟用戶資料至美國，違反 GDPR，被罰 13 億美元。
  • CNBC

• Zoom（2020）

  • 視訊加密不足、誤導用戶，遭美國 FTC 處分。
  • FTC

台灣案例

• 健保署健保資料庫

  • 是否足夠去識別化與分級保護，引發爭議。
  • CNA

• 大型電商個資外洩（2024）

  • 會員資料（姓名、電話、購物紀錄）外洩。
  • 主管機關要求補強 ISMS 並通報受害人。

五、台灣法規要求

《個人資料保護法》（個資法）

• 一般個資：姓名、生日、身分證號、電話、住址。

• 特種個資（SPII）：醫療、基因、性生活、健康檔案、犯罪紀錄、政治、宗教、工會會員。

• 處理規範：

  • 一般個資 → 需告知並取得同意，或有法源依據。
  • 特種個資 → 原則禁止，僅能在法律明文或書面同意下使用。

• 安全維護義務（§27）：蒐集者應採取 適當安全措施，避免個資外洩。

《資通安全管理法》（2025 修法）

• 適用對象：公務機關、特定非公務機關（金融、能源、交通、醫療等）。

• 要求：

  • 建立 資通安全維護計畫，涵蓋個資防護。
  • 事件通報義務：涉及個資外洩，須及時通報主管機關。
  • 委外責任：外包廠商需通過驗證或受控管理。
  • 資安長制度：公務機關必須設資安長或專職資安人員。
  • 罰則：若未通報或未落實保護，最高可罰 1000 萬元。

外洩通報

• 個資法：雖未明文「72 小時」通報，但要求即時通知當事人與主管機關。
• 資安法 2025 修法：已更嚴格，比照 GDPR 趨勢，逐步收斂至「即時 / 72 小時內」的國際標準。

六、IoC / IoA

• IoA

  • 大量資料匯出、未經授權 USB 寫入
  • 存取控制未區分敏感性

• IoC

  • DLP 偵測敏感資料外傳
  • SIEM 偵測未授權存取 SPII
  • 稽核發現未依資安法建立資安維護計畫

七、SOC / IR Playbook 切入

1. 偵測：DLP、SIEM 偵測敏感資料外流
2. 隔離：停用帳號、阻斷傳輸
3. 取證：保存日誌、流量記錄、外洩檔案樣本
4. 修復：更新分級策略、強化加密與存取限制
5. 復原：依規定通知當事人
6. 通報：主管機關（GDPR 72 小時、台灣個資法 / 資安法）
7. 改善：補強 SSDLC / PIMS，落實 Privacy by Design

八、演練模版

• 分級演練：將部門文件分為 4 級，檢查保護措施是否到位。
• 事件演練：模擬 SPII 外洩，72 小時內完成通報流程。
• 隱私設計演練：在新功能設計中納入 Data Minimization、Consent、Encryption。

九、可視化圖表

十、延伸閱讀

• NIST SP 800-122: Guide to Protecting PII
• GDPR 條文：https://gdpr-info.eu/
• 台灣個資保護法：https://law.moj.gov.tw/
• 資通安全管理法（2025 修法）：https://moda.gov.tw/ACS/press/news/press/17540.html
• ISO/IEC 27001:2022：https://www.iso.org/isoiec-27001-information-security.html
• ISO/IEC 27701:2025 (即將發佈 Edition 2)：https://www.iso.org/standard/85819.html
• ENISA Data Protection：https://www.enisa.europa.eu/topics/data-protection