近年,传媒经常报道有关机构泄漏机密信息和滥用个人信息的情况。例如,在零售商店的会员制度中,客户提供的个人信息被过度收集;另外,有金融机构在没有获得客户同意的情况下,与第三方共享客户个人信息作直接促销用途;以及有医疗机构曾经遗失了载有病人病历记录的U盘,继而导致资料外泄。很显然,被指控的机构因此对自己的声誉造成负面影响,最终可能会因为机构和客户之间缺乏信任而影响了他们的经营业绩。以上个案使得大众的注意力转向机构如何保管机密信息和保存他们的个人信息。他们会质疑机构是否有任何有效和足够的控制,以保护这些信息的安全,从而避免未经授权的访问和使用不当的情况发生。另一方面,机构可能也注意到大众对机构如何保护他们提供给机构的个人信息的关注。为了提供足够的信息保护,机构可能会考虑这样的问题:机构可否确保在有需要的时候提供适当的数据?机构可否控制数据的访问权限?机构可否保护数据,防止机构内部/外部的信息被盗窃?机构可否遵从相应的法律要求(如《隐私法》)来保护客户数据?机构是否正确保护信息管理的基础设施?机构可否采用新兴技术(如云计算和移动计算)?
一、信息保护的法规/监管要求
在信息保护的重要性在全球上升的同时,来自不同国家的政府及监管机构已推出了各自的信息保护条例,并已在自己的国家中实施。在亚太区中,一些国家和地区如新加坡、菲律宾、韩国、印度尼西亚、泰国和日本等近年都制定了自己的信息保护原则,并已在几个主要范围上作出限制和指引。包括获取信息的应用、信息采集及处理、信息的传输以及违例通知,等等。
(一) 香港的《个人资料(私隐)条例》(PDPO)早在1996年12月香港就已经通过并实施了一套名为《个人资料(私隐)条例》的法例,用以确保每个人的个人信息得到保护。《个人资料(私隐)条例》是香港首套信息保护和管理的法定条例。它主要可以概括为以下6个信息保障的原则:
(1) 个人资料的收集必须与资料使用者的职能和活动有关,而收集的资料适量便可及以合法及公平的手法收集,并须告知收集的目的及资料的用途;
(2) 须采取切实可行的步骤确保个人资料的准确性,并在完成资料的使用目的后,删除资料;
(3) 限制个人资料使用于当初的收集目的或直接有关的用途上,否则必须先获得资料当事人的同意;
(4) 须采取切实可行的步骤确保个人资料的安全,免受未获授权或意外的查阅、处理、删除、丧失或使用的影响;
(5) 制订及提供个人资料的政策及实务;
(6) 个人有权查阅及更改个人资料。资料使用者应在指定的时间内依从查阅或更改资料的要求,除非条例订明的拒绝理由适用。
(二)《个人资料(私隐)(修订)条例》(PDPAO)电子商务以及相关技术的快速发展,引致全球对信息保护及隐私的关注。为了配合形势,香港进行了《个人资料(私隐)条例》的检讨,分析当时现行的法规对保护个人信息的充分性,并于2012年6月在立法会上通过了《个人资料(私隐)(修订)条例》。
《个人资料(私隐)(修订)条例》修改了个人数据(私隐)条例的原有条文;尤其是把信息用作直接营销的机构,严格规定了该类机构对个人信息的使用的限制,特别是这样的信息的提供和销售。
1.机构在直销方面的责任
在机构使用个人资料做直销前,须告知信息当事人,在取得其同意后方可使用其个人资料。而机构亦须明确告知信息当事人以下信息:拟使用个人资料的种类、该资料被用于何种类别的促销标的、提供途径,让当事人传达同意或不同意。如果机构希望把相关信息转移给第三方,则除了上述的项目以外,还须以书面形式提供该信息,并告知在信息转移中是否牵涉任何金钱利益的有关事项。
2.外包个人信息处理
当机构请求信息处理方对信息进行处理时,不管处理方是在香港或香港以外的地方,原机构应该与信息处理方签订一份合同以防止传输的信息保存超过所需的时间。合同条款也应防止由意外导致的未经授权的访问或更改(如删除),或信息丢失和未经授权的修改。
3.违反《个人资料(私隐)(修订)条例》的刑罚
至于刑罚方面,如果违反了《个人资料(私隐)(修订)条例》,由于得到信息当事人的同意在条例中是最为重要的一个实际步骤,因此处罚主要根据这一项目而设立。如机构在没有得到信息当事人同意的情况下披露个人信息,根据该条例,这是一个新的刑事罪行。触犯者可以被处以最高罚款达港币50万元及监禁长达3年。此外,如果信息在没有获得信息当事人授予的有效同意下被“售卖”给第三方,触犯者会被罚款港币100万元及最高刑罚为监禁5年。
(三) 中华人民共和国国家标准(国标)
中国国家标准化管理委员会亦于2013年2月1日实施了中华人民共和国国家标准,该法规旨在治理和保护个人信息的使用。其中的原则覆盖了将所有或部分个人信息输入到信息系统的过程。它适用于所有组织和机构以外的有公共管理职责的政府部门或类似机构。国标还指出,个人信息可以分为个人一般信息和个人敏感信息,并引入默许和明确同意的概念。国标也列明了机构收集和使用信息的8项基本要求,包括:
(1) 须清楚告知信息当事人使用信息的目的;
(2) 收集的信息不可超过必要的范围;
(3) 明确披露收集信息的目的;
(4) 须征得信息当事人的个人同意;
(5) 确保信息质量保证;
(6) 确保信息获得保护;
(7) 执行诚信;
(8) 须清楚界定明确责任。
在国标中,对用户的信息、信息当事人及第三方监测机构的角色进行了明确规定。包括信息当事人的权利、机构的责任、信息持有者删除信息的责任和第三方监测机构的基本成效。它也清楚地定义了信息处理周期的顺序,并将其依次分为4个阶段:信息收集、信息处理、信息传输和信息删除。
此外,国标有八大原则,用以标出重点领域范畴,当中包括:
(1) 目的明确原则。处理个人资料要有特定、明确、合理的目的,不扩大使用范围,不在个人资料主体不知情的情况下改变处理个人资料的目的;
(2) 最少够用原则。只处理与处理目的有关的最少资料,达到处理目的后,在最短时间内删除个人资料;
(3) 公开告知原则。对个人资料主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人资料主体告知个人资料的处理目的、个人资料的收集和使用范围、个人资料的保护措施等;
(4) 个人同意原则。处理个人资料前要征得个人资料主体的同意;
(5) 品质保证原则。保证处理过程中的个人资料保密、完整、可用,并处于最新状态;
(6) 安全保障原则。采取适当的、与个人资料遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人资料安全,防止未经个人资料管理者授权的检索、披露及丢失、泄露、损毁和篡改个人资料;
(7) 诚信履行原则。按照收集时的承诺,或基于法定事由处理个人资料,在达到既定目的后不再继续处理个人资料;
(8) 责任明确原则。明确个人资料处理过程中的责任,采取相应的措施落实相关责任,并对个人资料处理过程进行记录以便于追溯。
二、机构面对信息保护方面的挑战
如今,许多机构已经实施了监控系统来识别机密信息和传输过程中的信息交换,以防止信息丢失。然而,这些措施仍然可能存在一些漏洞,如监控系统可能无法正确识别机构的机密信息,或者它是否能适当地为机密信息进行加密,这仍然是一个值得机构认真考虑的重点。
机构的个别员工也可能被其他人提供的一些好处所引诱,而有意或无意地泄露了相关的个人信息,而那些人则将该信息用在非法的用途上。例如,将一个包含间谍软件的电邮或U盘存入电脑以获得一个抽奖机会或赢得购物优惠券,等等。人们很容易因为未察觉而掉进这样的陷阱,从而被欺骗并无意地泄漏了信息。
三、数据丢失防护系统(DLP)
在过去的几年中,机构的日常业务运作对电脑系统的依赖日益增长,大量的信息传输是十年前所无法比拟的。加上信息系统的复杂性不断增加,数据丢失或泄漏信息的风险比过去更容易发生。
对于任何机构,数据泄漏/亏损都是不可接受的,因为它往往会导致机构受到财务及声誉/公信力的损害。在丢失/泄漏敏感数据的情况下,机构甚至面对诉讼的可能性。
为了防止发生上述损失,机构可以部署数据丢失防护系统(DLP)政策。它通常是机构按照自己的政策和地方/区域法制定的战略和软件的结合。机构要保护信息,有效的DLP是必要的,因为它涵盖了大多数类型的信息丢失,无论它们是有意、无意(人为错误、错位)或犯罪(盗窃、黑客、机构未经信息当事人同意向第三方销售信息)。
(一) DLP如何协助保护数据
大多数DLP政策会根据资料的状态用特定的软件和方法,通过检测和监测三种主要类型的信息,来实现信息保护。
第一类是传输中的信息(Data in Transit)。它包括进、出或流通于组织内部数位化平台的信息。特定的软件会被整合到机构网络去跟踪内部网络的网络运动或任何可疑的网络交通。通过使用深度包检测(DPI)技术,能够选择性地扫描网络中的信息包内容及它们的源头、目的地和流量。要实现这个功能,传输中的信息应该事先解密或软件有能力去解密,检查后再对其进行加密并传送。如果检测到任何未经授权或不符合机构安全政策的信息传输,DLP软件应能够立即停止有关传送并通知发件人的上级。
第二类是使用中的信息(Data in Use)。这比其他两类信息更加难以监控,因为它包括所有电脑内正在使用的信息。例如将信息复制到一个USB驱动器,将信息发送到打印机,甚至是应用程序之间的信息传输。通过软件代理 (Agent) 设立的规则,DLP可以保护这些信息,迫使用户遵从并限制他们的权利,其中可能包括防止复制信息时终端机未连接到内部网络或阻止用户试图复制敏感信息到U盘。
第三类是闲置信息(Data at Rest)。此类型通常需要一种名为Crawler的软件在机构的数据库中搜索和定位特定信息及档案类型,无论它们是电脑、储存局域网络还是档案存储的信息。Crawler会打开这些档案,并确定它们所包含的敏感信息,然后评估信息是否被放置在中央管理层事先定下的安全规则水平内一个合适的路径。机密信息,如信用卡信息,将被放在安全的路径中并被加密,以防止任何未经授权的访问或活动。此外机构应该定时创建信息备份,以防止可能的硬件、软件故障,停电事故和自然灾害产生的任何信息损失等。
政策方面应设立拥有系统许可权的特权用户,以确保只有选定的个人才可以改变机构的DLP解决方案的设定。最理想的人选就是中央管理层,因为他们更了解日常业务中传输敏感信息的必要性,并对相关政策提出更改,而且发生问题时更容易追究责任。为了避免中央管理层的权力过大,机构必须制订相关政策,防止他们在犯下罪行的同时隐瞒犯罪(例如出售客户个人资料)。提高对信息保护的认识,为员工提供培训,也是DLP的一个非常重要的部分,由于大多数信息丢失事件的发生是由于人为错误,给予他们相关知识亦能减少此等错误和信息损失。
(二) 实施DLP解决方案的优点
通过实施有效的DLP解决方案,机构对本地/区域规则和法规的遵守将得到改善,可减少违法和面临诉讼的可能。DLP的另一个好处是,在检讨和测试当前的业务流程中,任何不必要或错误的过程均会被发现。促使中央管理层制订一个解决方案,从而进一步降低安全性漏洞的产生,更好地保护敏感信息,避免任何不必要的信息丢失或泄漏。再者,通过浏览机构的储存服务器和网络带宽,DLP可以识别任何不必要的信息,删除它们并降低备份所需的大小,从而优化磁盘空间和带宽。
(三) 实施DLP解决方案要考虑的要点
首先,DLP不是万能的,它有它的限制。例如,无法全面解读所有格式的档案内容,图片上的敏感信息或设计档案可能不能被全面侦查及拦阻;移动设备也较难被监测和控制,因为它们有能力发送短信,拍下照片并录制影像档案。因此随着软件的使用,机构必须制定相应的规则和法规,以提高员工对保护信息安全的重要性和损失信息的严重后果的认识。正确运用适当的规则、法规与软件,能进一步将信息丢失的风险降到最低。
由于DLP软件主要是通过制订规则去执行相应的职责,决策规则过于严格或宽松都将使DLP解决方案的效用降低。若没有正确实施机构的解决方案所需的合适的规则,DLP也可能会带来业务操作上的风险。例如传输中的敏感信息未被成功侦查或其他非敏感信息被过度拦阻。为了尽量减少此类风险,机构的管理层必须制订有关的DLP信息保护规则和业务操作流程,并在需要时雇用专家顾问协助。通过制订并实施有关的规则和业务流程,以实现信息保护的最佳实践。
个人信息保护立法及监管要求
伴随着中国经济的飞速发展和科技的巨大进步,信息时代真正地来到每个人的身边,信息的含金量及其对日常生活的影响日益彰显,为提供定制化的客户服务以提高客户服务满意度,客户的身份、家庭、财务状况等个人信息成为服务提供者需要掌握的基本信息,客户在享受服务提供者提供的量身定制服务的同时,也逐渐注意到,一些推销和诈骗电话对自己的信息了如指掌。此外,由于个人信息泄露导致的信用卡盗用事件的相关报道也不绝于耳,甚至不乏一些人身安全事件。如此诸般,立法机关、行业主管部门、社会媒体等各方力量,越来越多地提到个人信息保护的重要性,也催生了一系列法规及指引的出台。中央电视台2013年3.15晚会曝光的安卓系统第三方应用开发者在未经用户授权的情况下对用户个人信息进行采集,收集了大量用户个人信息的事件,实际上只是以个人移动通信终端为触点,揭示了当前媒体、公众以及个人用户等各方对于个人信息保护的日益关注,事实上,中国政府和监管机构对于个人信息保护监督力度也在逐步加强。
国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
——《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)
一、国家关于个人信息保护的立法
2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议审议通过的这一决定,为加强公民个人信息保护、维护网络信息安全提供了法律依据。为配合《决定》的落实,在具体的指南方面,《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)作为我国首个个人信息保护国家标准,也已于2013年2月1日起正式发布实施。此文件属国家标准“指导性技术文件”类,与从制度上进行监管的《决定》相比,该《指南》侧重于从技术手段、信息系统上进行监管,对利用信息系统处理个人信息的活动起指导和规范作用,目的是为了提高企业的个人信息保护技术水平,促进个人信息的合理利用。
除此之外,在《决定》出台以后,各部委也开始制定更具体的个人信息保护的相关规定。工业和信息化部起草了《电信和互联网用户个人信息保护规定(征求意见稿)》、《电话用户真实身份信息登记规定(征求意见稿)》(以下简称《规定》),并且已经向社会公开征求意见。根据《规定》,电信业务经营者、管理机构及工作人员不得出售或者非法向他人提供电话用户真实身份信息,否则可以处1万元以上3万元以下罚款,构成犯罪的,依法追究刑事责任。
电信行业《规定》的迅速出台,表现了工信部对于个人信息保护的坚决态度和长期以来的渴望。随着电信行业打响了个人信息保护的“第一枪”,我们有理由相信,其他拥有大量用户信息的行业,也将逐步打响保卫个人信息之战。
二、个人信息保护的需求及《指南》概述
造成个人信息泄露有多种因素。首先,随着网络的进一步发展,个人信息的价值越来越高。巨大的利益驱动,使得不法分子铤而走险。然而,中国公众目前对个人信息的保护意识不强,给犯罪分子留下了可乘之机。并且我国一直以来缺乏明确的法律法规,对个人信息的收集和使用到底怎样是合法,怎样是不合法并没有明确的定义。同时,对于明显的个人信息非授权收集或流转,也没有足够的惩处力度以震慑此种行为。总体来看,在个人信息处理流程中,个人信息非授权采集和个人信息第三方流转是个人信息保护的两个主要风险点。《指南》分五个章节,分别描述了个人信息保护的范围、参与对象和相关方的定义、角色和职责以及信息处理阶段的具体标准。在该《指南》中对个人信息的类别、信息相关方的类别和信息处理的环节都进行了明确的区别和划分。
(一) 个人信息
《指南》最显著的特点是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。
(二) 信息相关方
《指南》将信息相关方分为个人信息主体、个人信息管理者、个人信息获得者和第三方测评机构。
(1) 个人信息主体。个人信息指向的自然人,信息的真正所有者。
(2) 个人信息管理者。决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
(3) 个人信息获得者。从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
(4) 第三方测评机构。独立于个人信息管理者的专业测评机构。
(三) 信息处理
《指南》将个人信息处理分为收集、加工、转移和删除四个主要环节,对个人信息的保护贯穿于四个环节中。
(1) 在收集阶段,要求目的合法且告知个人信息主体。
(2) 在加工阶段,要求将加工目的及方法等告知个人信息主体。
(3) 在转移阶段,要求告知个人信息主体转移的范围和目的。
(4) 在删除阶段,要求收集阶段告知的个人信息使用目的达到后,立即删除个人信息。
从以上四个环节的要求来看,《指南》主要强调的是个人信息主体的“知情权”,要求对于个人信息的处理全部要告知个人信息主体,且处理不能超出告知范围。这项标准还提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。
该《指南》为下一步有针对性地打击相关犯罪提供了有力武器。但是,这个《指南》仅是一个技术性标准,缺乏对违反这个标准的惩罚性措施,因此对于打击个人信息犯罪尚不具有威慑性。在网络上保护公民权益免受非法侵害、保障国家安全是一项系统工程,不是单靠一部法律、法规就可以完成的。制定具有可操作性的法律必不可少,但要想从根本上解决个人信息泄露的问题,还需要不断完善相关的网络法律法规,建立健全相应的配套制度。
总体来看,我国在个人信息保护立法方面还处于初级阶段,虽然出台了标准并准备颁布法案,但具体法案的实施,细则的补充以及实施还需很长一段时间。
三、个人信息保护主要风险点的应对
结合我国国情,目前应对个人信息保护风险,主要需要国家完善立法、民众提高个人信息保护意识和企业规范信息使用三方面的努力。
(一) 在国家立法层面,逐步完善国家立法,尤其是加大个人信息相关违法行为的惩处力度,是应对个人信息第三方流转的有效手段之一
其主要目的是提高相关违法行为的犯罪成本,从而对违法人员起到震慑作用,减少此类行为的发生。我国目前各地政府已开始纷纷“试水”,用实际行动立法保护个人信息,如湖北、湖南、江苏等一些地区,对非法泄露、复制及倒卖个人信息的非法者,处以最高50万元的罚款。随着《决定》和《指南》及一系列具体措施的颁布,对个人信息相关违法行为的惩处力度及范围与日俱增,构成犯罪的,也将依法追究刑事责任。
(二) 在公众防范层面,为防范个人信息的非授权采集,需要提高用户的自我保护意识
作为信息的所有者,个人应采取措施对自己的信息进行保护,包括了解个人信息的范围、个人信息保护的原则和可采用的具体措施。姓名、身份证号、电话号码、住址、账号等可以定位到个人的信息都属于个人信息的范畴。
个人在向外界提供个人信息时,应了解对方获取此类信息的原因,并据此判断对方要求取得的信息是否多于实际需要的信息。坚持“最小够用”的原则,只给对方提供必要的信息,避免在不正规的网站、电商留下个人信息。
在提供信息时,应采取措施限定或表明此类信息使用的范围。例如,在提供身份证复印件时,应在不影响复印件使用的情况下,注明该身份证复印件的用途或授权使用人;在网站注册输入信息时,应关注网站是否提供隐私保护政策,限定信息保密要求或限定使用范围。
在处理包含个人信息的介质时,应采取恰当措施销毁信息。常见的信息介质包括:个人简历、快递单、银行业务凭条、刷卡记录等,在弃置此类介质前应保证个人信息不会被获取,可以采用撕毁、涂画等方式保护个人信息。
除个人要加强信息保护外,政府在加强立法保护的同时,还应加大对个人信息保护的宣传力度,借助广播、电视等多媒体,营造良好的舆论氛围,提高全民的信息安全意识。同时,建立个人信息保护制度的奖励机制,鼓励公众举报侵犯个人信息的违法行为,以便从源头上找到真正的元凶。
(三) 在企业层面,出于控制声誉风险和法律风险的角度,企业需加强对个人信息的保护
随着立法和监管力度的加强,企业也需要加强对于个人信息保护的关注,严格遵守与个人信息相关的合规要求,包括信息收集及使用规范、安全保障措施和监督及检查等方面,并接受与配合相关机构的监督与检查,尽量避免由于个人信息相关违法行为导致的法律责任追究。
同时,从企业声誉风险的角度来看,客户群体对自身信息保护的意识和重视程度都在逐步提升,众多信息泄露事件的曝光和各类传媒对此类事件的持续关注,都对企业声誉风险的控制形成了越来越大的压力。出于对客户群体的负责,以及自身品牌的维护,企业都有必要加强对个人信息的保护力度。
企业在使用用户信息时应关注用户信息泄露的两个主要途径,包括内部泄露和外部泄露。
(1) 内部泄露。主要有员工泄露(例如2012年3.15晚会有相关报道,系统管理人员批量出卖用户数据)和非法外来人员泄露(例如商业间谍等)。
(2) 外部泄露。主要途径是在和第三方合作的过程中,用户信息在企业不知情的情况下被第三方获取(例如信用卡短信提醒功能的短信平台提供商,存储银行的用户手机号码)。
由于用户信息收集、加工、转移和弃置的过程中都存在信息泄露的风险,因此企业应建立全流程、多层次的用户信息保护体系,因为:
(1) 一个完整的用户信息保护体系,可以覆盖可能存储信息的管理对象、信息使用管理的全流程,以及信息保护的相关方。
(2) 一个合理的用户信息保护体系,可以兼顾职责分工、管理流程和技术平台,保证执行人、工作内容和操作工具的高度一致。
(3) 一个灵活的用户信息保护体系,可以通过对每个局部领域的深入和细化,制订可落地实施的管控措施。
企业在个人信息保护中应全面考虑信息收集、加工、转移和删除环节的风险,应梳理个人信息在本企业使用过程中的全部流程,包括涉及的系统和外包商、合作伙伴,逐一评估流程环节中个人信息泄露的安全风险、客户通知的合规风险、事件处理的声誉风险等。
企业在收集、使用个人信息时,应至少做到:
(1) 小范围、先认可。在收集环节,只收集必要的个人信息,并根据个人信息的性质,获得信息主体的认可。
(2) 防泄漏、透明化。在加工环节,采取必要措施防止数据泄露,并向信息主体告知加工目的和方法。
(3) 不放松、广告知。在转移环节,对外包商和合作伙伴应要求采取与企业自身管理一样的安全管理要求,保证在个人信息使用的过程中不出现管理的短板,并明确告知信息主体转移的范围和目的。
(4) 及时删、不保留。在删除环节,当使用目的达成后,及时删除个人信息,包括企业自身保存的,以及外包商和合作伙伴保存的数据。
综上所述,企业在管理个人信息时,除做好自身安全管理,关注外包商和合作伙伴的安全水平之外,还要体现对信息主体的尊重和负责,保障信息主体对个人信息使用情况的知情权。
个人资料保护制度建置项目经验谈
许多机构初次听到有新版《个人资料保护法》时,都会问:“我们还要多做什么?”了解法规的内容以后,不禁哀鸿遍野:“这太严格了!对我们的业务执行将造成很大影响!”而那些以往未曾被《电脑处理个人资料保护法》规范的行业,更是惊恐:“罚则这么严?到底应该怎么做才不会被罚?我们连从何开始执行的头绪都没有!”这些冲击都始于2011年5月26日正式公布新版《个人资料保护法》之时,全台湾不管是公务机构或非公务机构都开始“疯”行个人资料保护,并被深深地困扰着。
新版《个人资料保护法》参考APEC隐私保护纲领,各行各业都将受到新规范的影响,即便是过往已遵循《电脑处理个人资料保护法》的产业,其遵循程度仍不够彻底。综观亚太其他地区(如中国香港、日本与韩国等),其个人资料保护的法令进程与个人资料保护意识均较台湾成熟,对于台湾即将面临的个人资料保护的挑战,或可作为借鉴参考。
德勤在研究了台湾与各地的个人资料保护相关法令法规以及国际标准要求,并融合各产业的个人资料项目经验后,对于个人资料保护机制提出“五个方面与七个步骤”,作为执行个人资料保护的参考。五个方面是:①组织本身;②委托机构;③当事人权利;④预防机制;⑤事后应变)。七个步骤是:①制订法令基准;②盘点个人资料;③了解风险程度;④设计管理机制;⑤确实遵循机制;⑥进行机制核查;⑦持续矫正预防。
各产业因其特性不同,对于新版《个人资料保护法》的规范的确会有窒碍难行之处,以下提出各产业可能面临的冲击。
金融业以往有许多间接搜集个人资料的情况(如信用卡申请书上除申请人的资料外还有其他联络人的信息),若都要在《个人资料保护法》实行后一年内完成告知,则告知将耗费巨额成本。此外,若考虑删除此间接搜集的个人资料,部分以特殊形式存在的个人资料则难以完全辨识与删除。
无实体店面的产业在搜集个人资料时以网页形式达成契约关系,并在网页中进行告知作业,但如遇特定目的外的利用时,《个人资料保护法》又规定必须获得当事人的书面同意,故业者往往需要以实体信件寄给当事人以获得同意,或是建立一套符合数字签名原则的身份认证机制,而这皆需耗费高额成本。
以上的两个例子仅是冰山一角,新版《个人资料保护法》已取消行业的限制,各行各业均会受到冲击,在遵法的议题中,不管法律制定的宽松程度如何,法令遵循与业务收益之间的冲突是难解的议题。
在企业进行个人资料保护的作业时,还有另一个难解之题,即个人资料保护的治理架构。在台湾《电脑处理个人资料保护法》的时代,个人资料保护的议题理所当然被认为属于资讯部门,然而新版《个人资料保护法》公布后,此议题将涉及企业内所有可能接触到个人资料的部门,基本上就是企业内的所有部门。如何把负责个人资料保护作业的权责拓展至各部门,并找出一个主持大局,统筹各部门的人或组织来推动个人资料保护亦是一门学问。只要企业的个人资料保护角色权责能够明确,推行个人资料保护即会事半功倍,并一路顺畅。
若企业了解了法令,明确了个人资料保护的组织,接下来面临的问题就是找出个人资料。大部分企业的问题在于不能明确地辨别哪些是个人资料,或存在个人资料遗漏的不安全感,这些问题都是因为个人档案会在组织内流动而非静止,各部门若是各自盘点个人资料,势必会有漏缺的情况。盘点个人资料,除了须花费时间、人力资源外,盘点的方法也非常重要,好的方法可以让盘点过程更完整、更顺利。
虽说个人资料保护是合规的议题,但信息安全的部分亦不容忽略。举例来说,个人资料进行传输时,为了保护其机密性,可以将其压缩并加密,再用电子邮件进行传输;而以电子文件形式存在的个人资料在删除时,为了使其消失不复存在,可以使用Shift+Del进行删除。但上述的两个案例都不是绝对的,对于安全控管的议题,并没有标准答案。所以企业常会问:“要买什么产品才可以达到保护个人资料的目标?”、“这样的保护程度就足够了吗?”企业常会质疑,科技产品日新月异,到底要使用何种新颖的防护设备才能防止个人资料受侵害,而旧的产品是否都要淘汰?如果盲目地追逐新技术,则企业要付出的成本将永无止境,但不这样做,合规的风险又会很高。建议企业应落实个人资料管理风险分析与评估作业,在设计控管与资源提供时,必须彻底了解自身情况,理性地找到平衡点。
最后,所有的企业都会问一个问题:“实施了所有的个人资料保护措施,个人资料就不会外泄了吗?”或者是进一步问:“如果都做了,个人资料外泄时还会被罚吗?”最终的答案都是:“这要看法官的心证”。基于《个人资料保护法》的概念,如果能证明企业是无故意无过失,即无需被罚。只是企业要完全证明其无过失责任,以法律观点而论较难以达成,只要发生个人资料外泄,势必还是会被罚,只是做得好,罚得会比较轻。处理得当,可以提升客户对企业的信赖感,亦可提升企业形象,进而创造价值。
个人资料保护的实践只是企业经营过程中的一段插曲,过程中的风险从来不会消失,企业必须在风险中寻找创造价值的能力。
个人信息保护趋势浅谈
信息科技和通信网络的持续发展让信息交流和传递变得方便而迅捷,存储设备的发展亦令海量数据的存储和携带变得非常容易。人们在享受信息技术和网络的发展带来的高效和便利的同时,也时时担忧个人信息的丢失和泄漏。同时,随着全球化业务的持续发展,个人信息保护也成为国际业务交流中一项重要指标条件。近年来,频繁发生的个人信息泄漏恶性事件更是将个人信息保护推向了风口浪尖,社会对个人信息保护的关注进入到一个新的高度。
2013年3月,云计算笔记应用Evernote向近5000万用户发出重置密码的通知。Evernote表示,近期遭遇了黑客攻击,导致大量用户名、电子邮件地址和加密密码泄漏。[1]2013年3月,有消息称支付宝转账信息能够被搜索引擎抓取,致使大量用户个人信息泄漏。[2]2013年2月,据新闻报道,中国人寿80万份保单信息可在众宜风险管理网任意查询,随后中国人寿发出公告证实消息属实并指出此事故是相关网站升级操作失误所致。[3]2013年4月,北京警方通报称,近期连续破获两个有组织的侵害公民个人信息的犯罪团伙,抓获92名犯罪嫌疑人,在其中一起案件中,多名保险公司工作人员先后出售20余万条客户信息,被诈骗团伙利用后骗得300余万元。[4]
个人信息泄漏,特别是带有商业价值的个人敏感信息泄漏并遭挪用会给企业造成巨大的经济损失,给相关个人带来精神及名誉伤害。美国FBI于2005年进行的一项调查显示,个人敏感信息泄漏事件的平均损失高达16.7万美元。次年8月,美国司法部的一项研究更是将这一数字提高到150万美元。另外,根据美国市场研究机构Ponemon的一项研究显示,每条泄漏记录的平均损失为86美元,而这些数据的机会成本更是高达每条记录98美元。一家曾发生过数据泄漏事件的美国保险公司更公开表示,其在一次数据泄漏事件中的总损失高达410万美元,平均每条记录损失15美元。
国际著名研究公司Forrester在2007年调查了28家曾发生过数据泄漏事件的公司,其中过半的受访者将数据泄漏后的安全与审计策略的调整成本列为首要损失;而43%的受访者将数据泄漏事件后的客户通知、市场与安全反应以及商业机会损失的成本列为首要损失;同时,39%的受访者称遭受了显著的声誉损失,而25%的受访者称将面临司法处分。[5]
信息泄漏事件的频发及其造成影响的日益严重,人们对自身个人信息的保护意识日益加强,如何有效管理个人信息以及全面保障个人信息免受非法侵害已经成为了国内外热门话题。
有关个人信息保护的原则最重要的是经济合作与发展组织(OrganizationforEconomicCo-operation and Development, OECD)在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的8项原则,[6]概括为开放性、个人参与、责任、使用限制、数据质量、收集限制、特殊目的与安全(见表1)。
许多国家以此8项核心原则为依据制定本国的个人信息保护法,并在此基础上不断进行补充和完善。早在1995年,欧盟就出台了涵盖广泛并极具前瞻性的《个人数据保护指令》。1998年6月,美国电子工业协会、美国工商协会和AOL、AT&T、IBM、Bank of America等100多家主要团体和企业成立了在线隐私联盟(Online Privacy Alliances,OPA),发布了《在线隐私指导》。中国台湾地区于1995年出台了《电脑处理个人资料保护法》。次年中国香港出台《个人资料私隐条例》。在中国大陆,2006年大连市推出针对个人信息保护的地区性规定——《大连软件及信息服务业个人信息保护规范》,而改革开放之先锋的深圳也于2010年提出了个人信息保护的立法起草。在2013年中国两会上,政协委员张近东提交了加快制定《互联网个人信息保护法》的提案。
2012年第2季度,上文提及的国际著名研究公司Forrester发表了《Forrsights Security Survey Q2 2012》,其中对当年个人信息数据泄漏事件进行了调研分析。结果显示,信息数据泄漏的源头分为内部组织和外部合作方,其中绝大部分的信息数据泄漏源自企业内部事件,包括公司资产丢失/被盗、内部人员使用不当、针对公司服务器或用户的外部攻击以及内部人员恶意滥用等。
德勤根据多个行业的调查研究和各种类型项目的经验进一步总结出,组织内部泄密风险存在于整个信息处理过程中。信息处理过程围绕着数据信息的生命周期展开,信息生命周期主要分为5个阶段在缺陷或在个人信息的获取过程中发生资料泄漏等都是个人信息泄漏风险。再者,在信息存储方面同样容易出现泄漏风险。信息的储存介质有纸、胶卷、计算机等,在各种介质中储存的信息都有丢失和被窃取的风险。此外,个人信息的使用如果无法确定使用范围及使用目的,使用信息时就可能引起内外部传播、滥用信息等情况,此时就存在极高的泄漏风险。因此,对于个人信息的管理和保护,我们必须站在信息生命周期的宏观角度进行规划,再深入每个具体过程进行分析和把控。
为了进一步完善有效的控制机制,国内外各机构和组织以个人信息生命周期为模型积极制定一系列指引标准来保护隐私。英国标准协会以戴明环PDCA循环模型(P-Plan; D-Do; C-Check;A-Action)为基础建立了有关个人信息保护指引标准BS10012:2009个人信息管理体系(Personal Information Management System, PIMS),其中第4.7项规定,在收集信息时,收集最低限度的个人信息而不是过多的个人信息;第4.2和4.13项规定,对存储个人信息的设备需加以维护,保证个人信息存储安全;第4.8项规定,确保个人信息仅用于一个或多个指定的目的,而不能为了其他目的对原信息做进一步的处理;第4.14项规定,当个人信息在内外部传输时,要有足够的保障机制保护个人信息等。总体来说,BS10012标准规范几乎覆盖了个人信息生命周期的每一阶段。我国近年来也启动了个人信息保护的相关工作。2012年,国家工信部直属的中国软件测评中心联合30多家单位制定并出台了《信息安全技术、公共及商用服务信息系统个人信息保护指南》,这是我国首个个人信息保护国家标准,于2013年2月1日正式实行。标准对信息系统中的个人信息处理过程的收集、加工、转移、删除阶段进行了规范指引。
个人信息保护的立法正如火如荼地进行着,对于企业而言,建立信息安全机制已迫在眉睫。保护重要的个人信息数据使其免遭泄漏,既可避免声誉受损、客户资源的流失以及严厉的司法处分,又利于保持企业在商业社会的有效竞争力。而一旦这些重要数据外泄,将造成企业重要资产的流失。根据国际隐私权专家协会于2012年针对美国、加拿大、欧洲、亚太平洋等地区的一项调查显示,虽然符合监管机构的法
规要求是信息安全投入的最大动因,但降低风险、保护数据紧随其后,成为第二动因。[7]他山之石,可以攻玉。随着国内企业跨国业务的快速发展以及企业人员国际视野的日益提高,企业对信息安全的关注重点也将逐步转移到风险管理和数据保护等具体层面。目前我国已有众多企业开始采取积极行动,更加主动地关注数据安全,并将数据分析应用于业务的拓展。国内企业开始意识到保护客户个人信息不单单能够满足客户和业务合作伙伴的期望,提高企业的品牌和公信力,提供有竞争力的差异,更能够减少数据存储成本并增加交叉销售和直销的收入。
数据及个人信息安全保护是科技及互联网不断发展的必然产物。企业通过保护数据及个人信息的安全,可以将名誉损失、客户流失以及司法处分等风险降到最低,更可以保护在大数据时代中最重要且核心的资源——数据,并对数据进行有效组织与分析,应用于商业实践,促进企业不断健康地发展。
企业因应个人资料保护的建议——基于组织、流程、信息科技层面
台湾于2011年5月26日正式公布新版《个人资料保护法》,于2012年10月1日正式实施。其法条无缓冲宽限期,且适用对象不再局限于八大民生相关产业。企业未遵循该法将可能产生商誉、法律、诉讼、财务及停业之风险,甚至将会面临高达新台币2亿元的损害赔偿。现代企业经营与个人信息的使用已密不可分,销售、营销企划、人事、客服、信息等部门在日常活动中皆有可能收集、处理及利用个人资料,因此《个人资料保护法》的实施将对各种规模的企业皆造成不小冲击。
多数企业目前已陆续建立并强化其个人资料保护机制,建立个人资料管理组织及程序,并加强相关人员的教育训练。企业面对如此庞大且复杂的个人资料,如何有效地管理个人资料表单及其生命周期流向以及个人资料保护风险,以确保个人资料管理的有效性,并且让组织的个人资料保护措施成为个人资料保护妥善管理的证据,成为亟须解决的议题。本文将从组织、流程及信息科技三个层面对企业提出建议。
一、企业应建立适当的个人资料管理组织
新版《个人资料保护法》及实施细则最主要的改变是加强了企业的责任,包括委外管理、企业内部个人资料保护管理措施、个人资料侵害举证责任等,皆是新版《个人资料保护法》中新增的要求。这些要求同时增加了企业内个人资料保护的相关作业活动,为使其能够在企业内顺利开展,企业应立即建立适当的个人资料管理组织以进行个人资料管理的推行,并确保个人资料保护的观念可传达到每个单位同仁。
目前参考《个人资料保护法》实施细则及相关参考指引,建议个人资料保护组织的必要角色及权责如下。
(一) 个人资料管理部门
依据《个人资料保护法》施行细则第12条及21条,企业内应配备相应的管理人员及资源。同时依据第27条,企业内个人资料保护的具体作业可分成:维护企业内个人资料档案清册、进行个人资料风险评估、制订企业内个人资料保护管理程序、实施个人资料认知倡导及教育训练等。因此,个人资料保护应该是整个企业
的活动而非单一部门的活动,需要有专责人员以企业整体为考虑来规划、带领各部门执行个人资料保护管理活动。例如企业应如何收集全公司个人资料档案清册、应建置哪些个人资料存取管控措施、应如何调整委外契约以符合法规、应如何建立客户收集告知机制、如何留存客户个人资料使用同意记录等议题,往往须通过企业各单位共同讨论,以制订应对方式。目前产业界主要从法务、风管等与法令遵循、风险控管相关的单位中选派合适的人员组成个人资料管理部门。
(二) 个人资料管理召集人及个人资料管理委员会《个人资料保护法》非常重视企业妥善管理责任的展现,强调企业主的责任,在第50条中要求“若公司个人资料管理不当,公司代表人、管理人或其他有代表权人受相同处罚”。同时,个人资料保护作业因可能直接影响营运方式,在实施前或实施后皆须呈报高阶长官,以确保企业内个人资料保护的方向与目标一致。企业可依其规模大小由第一、二级高阶长官担任召集人及高阶管理团队,并通过定期会议来管理审核作业,以确保个人资料政策的规划执行、资源的有效分配、评估制度的适法性与合宜性,等等。
(三) 个人资料管理代表
个人资料保护的开展除了需要前述两种角色权责外,更重要的是能够在各单位中执行个人资料保护活动的种子人员,这些人员将代表各单位进行相关个人资料管理的沟通协调事宜,确认应遵循的事项。执行项目包含相关业务的推动与执行、个人资料保护的教育培训,并确保各单位可确切落实。
(四) 客户联络窗口
联络窗口主要是作为对客户的联络窗口,因新版《个人资料保护法》中强化了对当事人的告知义务,如第12条要求“若有资料外泄情况,应查明后告知当事人”。因此,依据企业现状,若已有相关机制(如客服、客诉机制),则可通过既有渠道建立联络窗口机制,以负责接受当事人申诉与咨询;若企业内目前没有类似机制,则至少应建立一个客户联系渠道,为客户提供针对该企业如何使用个人资料的相关咨询。
(五) 稽核小组
为了确认各单位的个人资料管理落实程度、协助发现管控疏漏、厘清疏漏的根本原因,同时协助追踪改善方式,企业可依循内部文化和既有机制来选择适当的个人资料稽核方式,如内部稽核或是单位交叉稽核。
(六) 个人资料侵害紧急应变处理组
疑似个人资料侵害事件发生时,企业须快速因应,掌控侵害事件发生的经过、快速进行调查评估,并于适当时间对内、外有适当响应,因此建议于平日即建立个人资料侵害紧急应变处理组,以因应临时需要的状况。个人资料侵害紧急应变处理组应全面考虑事件管理、调查评估、公关媒体沟通等事宜,以完整涵盖在侵害事件发生时所需进行的事项。
个人资料管理不仅只是遵法议题,更是企业组织的管理议题,其风险将影响企业的生存与品牌商誉,包含当事人权利展现议题、数据安全管控议题、个人资料风险管理议题、个人资料侵害紧急应变处理议题,这些都需要企业投入适当的资源、人力,并通过跨单位管理来规划、执行并持续改善个人资料保护管理体系。企业可通过上述个人资料管理组织的角色权责来检视内部状况,而个人资料管理组织的重点不在于新增哪些专责人员或专责单位,而是需确认在个人资料保护管理机制运行时各项权责在企业内皆有对应的人员及单位,以真正落实个人资料保护管理。
二、从个人资料生命周期入手调整流程,降低《个人资料保护法》对企业营运的冲击
《个人资料保护法》要求个人资料档案应明确定义,且企业在收集、处理及利用个人资料前,须和当事人进行清楚的告知作业。所取得的个人资料在处理及利用过程中,应实施较一般资料更为严格的管控。同时,当事人依据企业存放的个人资料进行资料复本获取、资料新增、资料查询、资料更正等作业。
反观企业活动,销售、营销企划、人事、客服等部门在其日常活动中皆有可能收集、处理及利用部分个人资料。因此,决定哪些流程需调整,确认调整方向,集中资源进行核心营运活动的调整皆是企业目前最关键的问题。
建议企业梳理个人信息流生命周期,辨识个人资料收集、处理及利用活动,找出业务流程差异点。以下将依据《个人资料保护法》的要求分享业界常见的议题及建议。
(一) 个人资料收集、处理及利用要求对营运流程的冲击
出于人权保护,《个人资料保护法》要求企业应让客户了解个人资料收集的目的及个人资料的使用方式,确保资料的使用符合当初客户授权的目的。然而在现行复杂的营运活动中,个人资料在企业间互相传递,企业所持有的可能已是第二手甚至是第三手的资料。企业为开拓客户,通常有多种资料收集渠道,而集团间、企业间相互分享或提供客户名单的状况也时有所闻,导致企业常常难以追溯个人资料最初的收集来源及目的。
1.分析业务收集目的
企业需先盘点所有的资料收集端,界定企业是直接收集抑或是间接收集的角色,所有的收集活动是否皆符合业务特定目的并已完成收集告知且获得同意。可以从企业的盈利登记来定义个人资料收集目的,但若其目的不在原盈利登记内,是否导致不得收集个人资料,或是过往收集的个人资料不能再利用然而个人资料在企业内并非为单一业务存在,而是由各类业务需求而产生的一连串信息,因此企业需从业务层面分析个人资料收集的必要性及目的,同时再从个人资料档案支持业务的层面比对个人资料档案与业务的关联,以确保该个人资料档案存在企业的合法性。
2.界定收集时点判定原则
在新版《个人资料保护法》实施前收集的资料,可能没有收集目的,该法不追溯过往所收集的个人资料及收集活动,但规范现行企业对该个人资料的使用状况,因此在规范要求上出现时间差,以前收集的资料不一定能继续使用,造成营运冲击,因此建议企业应界定个人资料的收集时点判定标准,针对旧有收集的资讯进行标示,若在企业营运活动中需再利用时,需再进行相应的告知及同意活动。
3.应为各类收集渠道设计收集告知及同意程序企业除了通过实体渠道收集客户个人资料外,也可利用许多虚拟渠道,通过电话、网页等收集资料,因此需针对不同的收集渠道设计不同的告知、同意方式,以便让收集端同仁方便和客户说明,收集的个人资料在后续处理及利用过程中可有明确的判断依据,收集的证据可在未来使用。建议企业可从公司层面考虑建立收集告知同意程序及告知范本,先制订一致的特定目的、个人资料利用方式供各业务参考,再由各业务依据业务特性进行差异化。
(二) 个人资料处理、利用管控与业务便利性议题1.实施适当的个人资料安全管控措施
《个人资料保护法》第27条规定,针对数据处理、利用要求应实行适当的安全措施,同时实施细则中要求企业加强个人资料保护。在收集、处理及利用活动中建立企业管控程序及安全防护措施,如个人资料的存取最小化、安全储存及销毁的规范、使用及传递的加密保护。不论是管控程序或是防护措施皆可能直接影响业务便利性与效率。企业常陷入安全保护与业务便利性的冲突思维中,然而《个人资料保护法》并非要求企业滴水不漏地保护个人资料,而是要求在企业的管控水平中展现管理责任,因此建议企业可积极地设定个人资料管控策略,从风险评估中选择适当的个人资料管控。
2.客户拒绝营销机制
《个人资料保护法》规定,企业应向客户提供表示拒绝接受营销的方式,并负担所需的费用。营销作业是企业重要的营运活动,业界存在多样且复杂的共同营销模式,针对渠道分享模式,企业应确保在平面广告或文宣中提供免费客服电话或电邮联系方式。针对从他处取得的会员名单,应在联系时说明收集的资料、来源及使用的目的,同时设计沟通技巧,以取得客户信任,满足客户对个人资料使用的了解需求,并依法提供拒绝渠道。
(三) 当事人权利行使流程
《个人资料保护法》为保护人权,特别强调当事人对其个人资料的权利,并要求企业在一定时间内回应客户的请求。除了既有的资料查询、更正及提供复本的流程外,企业须再提供申请删除及停止收集、处理利用的流程。为清楚界定客户请求删除或停止处理、利用的资料,建议企业向当事人提供权利行使渠道及行使表单,通过前端同仁的说明及申请单内容,预先过滤定义不清或是意图不明的请求。同时对内建立判断原则,便于业务端同仁有一致的处理标准,符合法规的回应时间,同时提供适度合理的处理回复。
(四) 委外管理流程
《个人资料保护法》第4条特别强调受托机构视同委托机构,应受到同样的规范管制,并于实施细则中更严谨地在委外合同签订前、委外作业执行中及委托关系终止时分别要求企业对委外单位进行监控。企业应先界定个人资料业务中与合作单位的关系。然而如今企业间业务往来密切,个人资料档案抛转频繁,难以清楚界定是委外还是合作。建议企业可先通过合作厂商所承揽作业的特定目的来判断是否为企业既有作业的延伸,借以辨识是否为受托机构。与受托机构签订的合同中需要完整包含实施细则中的要求,未来将依据合同实施对应检查作业。而针对其他交换过客户资料的合作单位,则可依据业务特性适度要求该单位出示个人资料保护措施。
(五) 企业个人资料管理流程
个人资料管理不仅只是个人资料数据安全管控、当事人权利展现议题,还包括资料风险管理议题,个人资料侵害紧急应变处理议题。企业应定期执行个人资料盘点流程,以更新个人资料范围,通过个人资料管控检查确认企业个人资料保护的有效性,并反馈于个人资料风险评鉴,了解个人资料风险变化,以实现个人资料管理持续改善。这些新增的个人资料管理活动可并入原有管理活动中,建议企业在理解个人资料管理意图的基础上,对应内部既有的管理模式,适度地在既有的管理活动中加入个人资料管理议题,以降低新增流程对企业所造成的影响。持续改善的个人资料管理活动需要企业组织的配合,也需要相关解决方案的配合,才可让企业在个人资料管理上更具效益。
三、以整体风险管理观点实施个人资料保护信息科技解决方案
2012年,德勤与美国《富比世》杂志合作,针对全球192位大型企业高阶主管进行有关企业风险管理的调查,结果显示,超过50%以上的受访企业表示,计划将投资有关持续性风险管理与监控的信息科技解决方案,同时约33%的受访企业表示已经在建置自动化风险管理解决方案。因应《个人资料保护法》实施,近年来谈到个人资料管理科技解决方案,大多会直接联想到相关的安全防护解决方案,例如数据安全防护、加解密或稽核日志管理工具,而上述主要是个人资料控管保护作业层面的应用,若以整体企业风险管理观点出发,个人资料保护信息科技解决方案不仅要考虑风险管理对于企业价值的保护,也需要考虑企业价值的创造。因此个人资料保护风险管理科技解决方案须由个人资料管理、个人资料安全防护、个人资料事件鉴别调查等三个层面发展实施。
(一) 个人资料管理科技解决方案
有关个人资料管理科技解决方案,可以考虑对管理体系、风险评价以及个人资料数据流与个人资料清册管理等作业优先以科技辅助其运作,其他个人资料管理流程,例如当事人权利行使等流程,则可考虑整合于组织现行的相关业务流程平台实施系统运作。
1. 管理体系
个人资料保护管理机制的导入需要持续有效的运作与改善,因此组织会基于PDCA(Plan-Do-Check-Act)的循环持续运作,并通过核查作业及有效性测量指标的衡量方式,确保个人资料保护机制的有效落实。
现行的核查及矫正预防措施追踪及有效性测量指标往往以纸本及人工方式汇整及管理,借由自动化解决方案,有助于快速掌握查核结果,并实时且便于了解各部门矫正预防措施的执行情形。同时也可通过分析报表,掌握个人资料保护的运作状况,并通过有效性测量指标的统计分析结果,监控测量目标的达成,并作为高阶管理决策判断的基础。
2. 风险评鉴
《个人资料保护法》实施细则规定,安全维护事项中须包括适当的个人资料风险评估及管理机制,借由分析组织可能面临的风险与威胁,确认是否需实施风险降低或风险移转等计划,以作为选择个人资料保护控管措施的依据。
个人资料管理的涵盖范围横跨组织各部门,若个人资料保护风险评估由各部门分别进行,则不易汇整,沟通成本高,且不易从公司层级掌握风险评估结果与风险分布。自动化的解决方案将有助于各部门自行执行风险评估作业,并实时掌握个人资料侵害事件的威胁,帮助管理者整体掌握各部门的风险评估结果与改善状况,进而达到实时风险监控与报告。
3. 个人资料数据流与个人资料清册管理
个人资料管理的首要活动为针对企业个人资料数据流与个人资料窗体进行分析与盘点,依业务流程描述个人资料的流向,清楚直观地辨识出个人资料档案收集、制作、传输、使用等不同生命周期,并以此作为个人资料清册的基础。
然而目前多数组织主要通过人工及档案方式收集与管理个人资料清册信息,这不利于日后更新以及跨窗体与流程查询,通过科技辅助,可以将图像形式的个人资料数据流快速转换为数据表形式的个人资料档案清册,并且通过集中化及网页化方式,让各部门以单笔或批次方式更新及查询个人资料清册数据,以利于个人资料清册数据的维护与管理,确保个人资料清册数据的正确性与完整性。
因此通过个人资料清册自动化解决方案有助于支持当事人行使权利时查询相关窗体的流向与储存地,支持个人资料档案侵害事件处理的相关信息查询以及个人资料窗体的相关保护措施布建情形,并且有助于查询个人资料窗体的新增、异动或删除的历史纪录,以有效监控个人信息管理制度的持续有效营运。
(二) 个人资料安全防护科技解决方案
个人资料生命周期中,收集、储存、处理利用、传输与销毁等阶段皆须配备适当的安全防护措施。组织可通过个人资料管理信息环境科技评估,了解组织安全控管的缺漏,并可通过数据安全防护、数据库内容监控、安全事件管理、传输加密机制及数据库内容加密等技术解决方案,强化个人资料保护安全控管的落实与防护程度。
此外,依据《个人资料保护法》要求的实行举证责任倒置原则,组织应留存有证据能力的记录与稽核日志记录,作为提供无故意与无过失的重要证据,因此组织可借由稽核日志管理自动化解决方案,协助稽核日志的收集、储存、分析与报表制作。
(三) 个人资料事件鉴定调查科技解决方案
当发生个人资料侵害事件时,企业除了需要具有个人资料侵害事件的通报及应变机制外,还应配合《个人资料保护法》留存完整的证据,采集证据的过程亦须符合搜证程序,以提出有证据能力的记录作为善良管理义务证据。
因此在侵害事件的处理与鉴定过程中,需要数字鉴定证据收集工具,包括影像文件制作工具、硬盘复制及写保护工具,系统数据收集工具及数字鉴定分析工具等科技辅助工具,以确保数字证物被妥善保存,同时鉴定结果能成为不可避免诉讼时法庭认可的依据。
四、结语
企业应为个人资料保护管理机制的运行投入相应的资源,以尽善良管理的职责。除了在“组织”与“流程”层面建立个人资料管理组织与管理机制外,亦须考虑“信息科技”层面,以提升个人资料保护机制的落实度与有效性。此外,在引入信息科技解决方案时,除了安全防护解决方案外,更应从企业风险管理的整体观点出发采取各层面的解决方案,以使个人资料保护风险管理作业不仅能够实现企业的价值保护,进而能够实现价值创造。
隐私保护的企业现状和合规挑战
连续几年在3.15晚会上曝光的质量问题中,都涉及国内大型企业对客户隐私及信息泄露的话题。2011年的3.15晚会,曝光了电信公司贩卖手机用户信息,引起后续电信运营商对自身安全管理的再一次建设。2012年的3.15晚会,多家银行被曝内部员工出售客户信息,其中包括了国内最大及最知名的几家银行。而2012年曝光的案例中,不仅仅涉及客户信息被出售,更严重的是犯罪者利用购买来的客户信息,逐个尝试登入网银。由于银行出售的个人信息包括诸多隐私数据,致使犯罪者成功利用这些隐私信息登入网银,最终造成3000多万元的损失。
由于我国一直没有针对个人隐私保护的相关法律,所以在个人隐私保护方面,更多是由社会舆论和媒体在推动,企业并没有强制性的合规要求需要满足。因此在实施个人隐私保护方面的动力并不足够。往往是出现敏感信息泄露造成企业损失,或者媒体曝光引发公众舆论和信任危机时,才会弥补式地加强在个人隐私和敏感信息方面的保护措施。
事实上,由于移动互联技术的快速发展,企业面临的隐私保护问题日益严峻。据不完全统计,每400封电子邮件中,就有一封包含敏感信息。每2个U盘中,就有一个包含有敏感信息。在网络通信及移动介质被频繁使用,且没有建立敏感信息保护体系以及综合应用信息防泄露产品结合加密机制的情况下,很难防止隐私数据和敏感信息的泄露。
从行业来看,通常以下这些类型的行业需要关注个人隐私及敏感信息的保护:
(1) 金融行业。银行、保险和证券公司为了进行正常的金融交易,均需要收集大量的个人信息。其中银行涉及信贷及信用卡开办的业务,需要更为详细、真实的个人资料。而投保的过程中,个人住址、家庭信息等均会被保险公司收集。这些信息涉及大量的个人隐私,一旦被泄露,信息主体就会被骚扰。而相关的银行账户等也面临被恶意者利用隐私数据入侵的风险。
(2) 医疗行业。医院、卫生所、医疗设备维护机构等,在工作过程中均涉及的大量个人健康状况,是非常敏感的个人隐私信息。早在2008年,深圳市就有泄密光盘兜售十万孕产妇信息,一张光盘售价1. 2万元,内容涉及深圳70余家医院。而在2013年被曝光的某医院妇产科护士,在接生后即通过电话给多家机构和个人贩卖婴儿家庭信息,获利颇丰。
(3) 具有自主知识产权的制造及半导体等行业。发动机、半导体芯片等的研发往往需要3~4年的时间,其中涉及大量的专业人员、设备和其他资源的投入。而现在的设计图纸均以电子文档方式保存,极易被泄露。一旦被竞争对手获知,所造成的损失将难以估量。
这些行业涉及大量的个人隐私和敏感的商业信息,但在实施保护措施方面面临着诸多挑战,阻碍了这些企业建立敏感信息保护机制。具体而言,这些挑战主要有:
(1) 缺乏适当的法规、行业标准和最佳实践可以遵从。在2012年之前,我国还未颁布针对个人隐私保护的可执行的法规,并且没有明确的行业监管要求强制涉及个人隐私的特定行业对个人隐私采取适当措施进行保护。在美国,医疗行业的HIPPA法案对于涉及收集个人健康信息的多种行业进行了严格限制,并且在违反法案时会有极其严厉的处罚。在美国、欧洲、日本、中国香港及台湾,均颁布执行了与个人隐私保护相关的法律,在所辖范围内严格执行。
(2) 难以识别和管理企业内部的敏感信息。个人隐私和敏感信息会贯穿整个业务过程,涉及多个部门及岗位。而对于这些敏感信息的管理责任缺乏明确界定,是企业目前普遍存在的情况。很多时候,在进行这些信息的保护工作时,企业自然而然将此作为信息技术部门的责任。实际上,业务信息的产生、管理和使用时应当遵循的规则,应当由相应业务部门制订,并承担所有者的职责。信息技术部门仅作为信息的保管者,遵循以上规则,设计技术控制措施,并落实执行。
(3) 缺乏敏感信息保护方法和工具。从以上第二点可以看出,敏感信息贯穿于企业主要业务过程,涉及的部门和岗位众多。如果无法识别敏感信息的位置和信息泄露的渠道,则难以真正对这些信息进行保护。
虽然个人隐私和敏感信息保护面临以上诸多挑战,但是现在也有不少企业意识到了敏感信息保护的重要性,在逐步加强这方面的管理。在政策层面,2012年12月28日,十一届全国人大常委会第三十次会议审议通过了《关于加强网络信息保护的决定(草案)》(以下简称“草案”)。草案中明确定义了个人隐私信息的保护要求,其中第三条“网络服务提供商和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供”明确了对涉及收集个人电子信息的企事业单位对于保护隐私信息的责任。
在管理和技术方面,现在也有诸多公司提供专门针对敏感信息保护的咨询服务及相应防泄露产品。对于个人隐私及敏感信息的保护,企业可以参考如下步骤对自身业务过程中涉及的个人隐私和敏感信息进行保护:企业首先需要界定需要保护的信息的分类及相应等级,识别这些信息泄露的渠道。基于对信息泄露风险的识别,制订相应的访问控制策略,在信息的使用、处理、存储、传输及销毁等各环节,应用策略进行管理。而大量敏感信息在企业各部门的分布和泄露渠道的控制,则需要借助信息防泄露产品及加密技术。
管理数据隐私的利器——身份和访问管理
随着信息技术的快速发展与广泛应用,组织发展对信息技术的依赖程度日益加深,信息技术已贯穿于各类组织的运营活动中,信息资源已经成为各类组织发展必不可少的重要生产要素。随之而来的是支撑组织日常运营的应用系统、数据库、操作系统和计算机网络等IT资源日渐庞杂,管理成本逐年增加;并且随着企业IT平台的复杂化和开放化,组织和个人数据的安全管理面临很大的挑战。这些挑战包括但不限于:
(1) 业务增长迅速,越来越多的系统、设备和应用提供关键业务功能,管理和分配这些IT资源的复杂性逐渐增加。
(2) 各类用户需要频繁访问不同级别的系统、设备、应用和数据,而分散的身份管理和口令管理给用户带来了极低的访问效率和用户体验。
(3) 不同类别的用户需要不同的安全访问控制,而当前大多数组织还不具备这个能力。
(4) 组织人员变动带来更多复杂的安全隐患,包括权限蔓延、冗余身份、弱口令等安全隐患。
(5) 分散的身份和访问管理给合规性审计带来复杂度。
(6) 互联网云时代仅仅依赖边界保护已经无法保护组织和个人隐私安全。
因此,企业管理者不仅要面对组织和个人信息隐私的安全保护,还要满足内部和外部的合规要求,而要解决上述挑战,统一的身份和访问管理机制可以作为当下和未来亟待采纳的重要举措。
一、身份和访问管理发展现状
事实上,身份和访问管理(Identity and Access Management,IAM)在国际上并不是一个新概念,身份和访问管理系统在2000年前后就已经在市场上出现,并在随后几年达到了一定的规模。随着IT环境的变化,身份管理带来的问题越来越严重,例如:随着无线网络飞速发展,移动计算和远程访问越来越普遍,信息系统被非授权访问的几率显著增加,而由非授权访问带来的组织信息泄露的事件频繁发生。
伴随着这些严峻的挑战,身份管理市场需求快速增长,并逐步形成了稳定、成熟的市场规模。而目前在这个市场上角逐的厂商主要包括CA、IBM、Novell、Oracle、BMC、HP、Micro soft等。
IAM 的应用,不仅能为用户带来更低的管理成本,信息安全风险发生的概率也会随之降低,对法规也有了更好的遵从,并能更快地交付增值的IT 服务。而最为重要的是,能为组织实现IT 投资价值的最大化。
中国大陆对于身份和访问管理系统的建设起步比较晚,主要是因为国内应用系统的建设相对滞后,总体水平并不高,很多组织还把主要精力放在单个系统的建设上;但是随着组织信息化的深入,信息化建设程度领先的组织开始考虑应用系统安全集成的问题,而统一的身份和访问管理作为应用系统集成的一项重要内容,也逐渐成为组织IT建设的重点。
二、身份和访问管理总体能力框架
身份和访问管理的核心能力包括身份管理、访问控制、身份开通、身份和策略库四部分。将这些能力通过IT技术集成到一起能够为组织提供一个统一的身份和访问管理的端到端平台。身份和访问管理总体能力框架。
(一) 身份管理
集中的身份管理解决方案可以完成用户身份信息全生命周期的管理。通过将不同类型用户的授权委托给不同的部门、应用甚至是实施厂商,可以减少管理的成本,提高生产效率。
·全局用户身份的创建和维护。
·提供集中的、委托的、自助的或三者相结合的管理模型。
·支持用户身份信息的分级委托管理将减少与身份管理相关的时间和成本。身份信息的管理可以唯一地指向特定的用户或特定的用户群。
·自助服务允许用户自行维护个人基本信息、修改个人密码口令、忘记密码口令后自动找回,从而减轻系统管理员的工作量。
·提供对管理事件的报告和审计。
(二) 身份开通
身份开通服务按照业务策略和规则,将用户身份从权威账号源传播到目标系统自身的身份库,实现应用账号的集中开通,从而提高了安全性。同时自动化的手段降低了管理成本。集成的工作流提供一种自动化的方式来请求和批准身份管理变更,支持一致的业务规则和流程。
·迅速、自动地将用户身份从统一的身份库传播到目标资源自身的身份库。
·替代手工操作,根据集中的策略和业务规则来提供用户的账号开通。
·集成可定制的审批工作流。
·通过连接器(个别系统采用API调用)来实现与应用系统的集成。
(三) 访问控制
访问控制提供用户的身份鉴别、安全的会话管理,并为后端受安全保护的资源提供授权服务。访问控制可以通过像Web访问控制和操作系统访问控制等技术来实现。通过提供单点登录的解决方案,减少用户重新登录才能办理业务的复杂性,提高用户的体验。
·认证服务。认证服务负责对用户身份的真实性进行验证,通过对用户的Session进行安全管理,为用户提供对企业内的应用和资源的无缝访问,且无需重复登录。
·授权服务。授权服务负责验证用户访问受安全保护资源的权限,验证过程以用户的角色或策略为基础。
(四) 身份和策略库
身份和策略存储提供统一储存用户身份信息、访问规则策略和审计日志信息的功能。是访问控制、开通服务和身份管理服务的基础。
·权威账号存储。储存用户的全局身份信息、应用身份信息和资源信息。
·策略数据存储。储存用于身份开通的策略信息和访问规则信息。
·审计数据存储。储存身份和访问管理所有相关的审计和日志信息。
·目录服务。能够为支持LDAP和PKI的应用系统提供集中的认证和授权。
三、德勤企业身份和访问管理实施方法
身份和访问管理是一套全面的建立和维护数字身份,并提供有效的、安全的IT资源访问的业务流程和管理手段,通过IAM实现企业信息资产统一的身份认证、授权和身份数据集中管理与审计。德勤的IAM服务能够帮助客户设计、实施、部署和维护集成身份识别和访问管理解决方案。德勤身份和访问管理实施方法涡轮图。
在战略和线路图阶段,组成该阶段工作流的活动如下:
·计划——确认IAM目标和愿景覆盖的范围。
·现状分析——了解现状,包括业务挑战、业务流程和现有架构。
·目标分析——识别短期和中期的IAM服务需求,讨论满足需求所需的业务流程和技术选项。
·差异分析——实施现状与目标的差异分析,定义IAM的成熟度模型,识别相关技术工具。
·战略及路线图——创建IAM战略,标识IAM实施的相关时间、优先级,准备IAM项目业务用例。
·成本分析——确定需求预算和IAM项目的成本分析。
在实施阶段,组成该阶段工作流的活动如下:计划与分析——对实施项目进行计划和分析。
·设计——进行解决方案架构设计,包括功能模块和非功能模块,以及硬件、软件架构等。
·构建——根据设计成果,组织系统搭建,编写代码,并根据设计方案进行参数配置。
·测试——执行系统集成测试、性能测试以及用户测试,验证系统有效性。
·部署——评估系统的准备程度,执行部署的筹备工作,制订回退策略,将解决方案部署在生产环境并验证部署的有效性。
·迁移——将构建的系统正式交付使用。
在运行和维护阶段,组成该阶段工作流的活动如下:
·计划——制订运行和维护服务计划。
·服务授权——明确身份和访问管理服务执行流程并提交管理层审批。
·服务提交——根据管理层审批的流程执行服务交付。
·成果提交——执行知识转移和经验总结,并向管理层沟通和汇报。
四、身份和访问管理成功要素
身份和访问管理的成功实施依赖于组织的战略目标、核心业务需求和现有应用环境。每个组织的身份和访问管理体系建设都应考虑下述成功因素:
·管理者需要意识到身份和访问管理的战略性,审慎评估对组织可能带来的影响和转变。
·明确驱动规则以及身份和访问管理工作流定义的安全策略。
·实施部门需获得管理层的全力支持,并认可流程改造所带来的影响。
·关注身份和访问控制管理流程优化改造、人员和组织的转变管理,技术只是身份和访问管理的实现手段。
·采用基于请求的管理模型来模仿组织现有的权限管理流程。
·逐步实现基于角色和基于规则的权限授予模型,实现基于请求流程的自动化实现机制。
·准备全面的转变管理和交流计划。
·采用分阶段的方式集成目标系统以及支持不同类型用户的身份和访问管理。
·根据需求分析审慎地进行身份和访问管理软件选型。
五、结束语
今天的组织在身份认证与访问管理方面面临着各种各样的挑战,除了要充分意识到它的重要性和艰巨性,还需要寻求更为自动化且更为安全的身份识别与访问管理解决方案。组织内部和外部的环境变化要求进一步提高管理职能的效率以及管理执行的力度,同时能够尽可能地控制管理成本。组织管理者只有充分意识到身份和访问管理是一项长期的管理工作,而不是一个项目或者一次性的行动,才能在组织内部推动该项管理工作,并借此给企业带来长远的收益,这些收益不仅仅局限于管理效率和安全性,更包括长远的战略目标实现和组织声誉。
个人资料泄漏调查经验分享
台湾新版《个人资料保护法》已于2012年10月实施,在这部与企业及民众都有切身利害关系的法律实施之后,各产业都无法置身事外。放眼2012年,个人资料泄漏事件依旧频传,一般民众对于自身权益保护的意识也日益高涨,且根据《个人资料保护法》第十二条的规定,若企业因违反该法而导致个人资料被侵害,“应查明后以适当方式通知当事人”。然而,第二十九条提及的企业损害赔偿责任,如果能“证明其无故意或过失者,不在此限”。因此,调查事件真相不仅仅是企业的义务,更是帮助企业保护自身的必要诉讼防守策略。计算机取证与调查势必成为企业应变个人资料泄漏事件的必要一环,本文将介绍企业进行个人资料泄漏事件调查时,在前、中、后三阶段可能面临的状况。
一、调查前置准备时
在事件调查行动开始前,专业的计算机取证调查顾问团队必须从环境架构复杂的客户端快速掌握信息且取得资源,才能确保后续调查过程的正确性与时效性。很多时候,由于人员的应变意识不足,或并不具备妥善的环境,又或公司内部并未取得共识,而直接造成对调查的阻碍或误解。因此,在企业与外部顾问共同展开调查时,企业应做好下述信息与资源的准备。
首先是事件背景资料的搜集,厘清究竟是哪些异常状况发生,导致企业认为有个人资料泄漏事件,包括异常状况发生在什么时间、发生于哪些主机或系统,并进一步记录该受害主机的平台环境,该主机开放的相关服务与事件发生时的网络联机状况,以及最重要的,事件通报或发现人员曾经执行过的任何应变动作。
其次是影响范围的初判,个人资料泄漏的起因通常不会只涉及单台主机,无论是外来因素或是内部因素造成的,牵连主机都可能包含数据库、相互介接系统平台、其他数据抛转主机,甚至是相同或互通网段服务器与用户主机等。唯有先取得前述系统/网络环境架构信息,并确认是否有类似或其他异常状况(仍在)发生,才能辅助判断事件的规模及程度,并开辟事件的“防火线”。
在调查的初步范围确定后,应针对企业内部的科技环境现状进行确认,尤其是各种系统稽核日志,如同目前《个人资料保护法》实施细则修正草案第十二条第二项所要求的,“使用记录、轨迹数据及证据保存”,调查相关范围内的主机与系统,看它们是否皆具备稽核功能且妥善保存了足以帮助调查的轨迹资料。此外,还要看企业是否具备并保存了联机防护设备监控的信息与异动记录。若企业已具备周全的证据保存环境,且曾经对于组织内的个人资料进行过盘查与流向清查,那么这些对于调查的进展都有极大的帮助。
前三项信息的取得可能都要依赖信息(系统与网络)安全部门的协助,但在计算机取证专业团队进行实地调查前,企业应建立起其他人员共同参与的共识,以便调查过程顺利进行。例如,管理高层的授权与布置,可以在外部顾问进行调查时,确保内部员工的配合度;遵法与行政方面的支持,必要时可包含法务、稽核、人资甚至总务与保全方面的协助。
二、事件调查启动时
在计算机取证专业团队进驻并启动调查后,若外泄事件持续发生,企业通常以应变防堵为优先作法,可能的系统下线、网络隔离、主机关机等动作都必须有专业人员进行实时取证与完整稽核轨迹留存作为相应的补偿措施,才不会导致事件调查的证据来源完整性受到影响。企业方面可能会有的疑问是,科技环境架构如此庞大复杂,要从哪些主机着手才能查明事件发生的原因呢?以下介绍两种常见的实务调查方向。
(一) 由内而外进行调查
这种调查方式常见于个人资料泄漏事件已经明确发生,企业得知事件是来自外部机构通报或接到客户投诉等,但却不知外泄缘由。因此调查起点先定位于数据所在系统或主机,包括应用系统及数据库等;进而层层推进,向该主机有所介接、抛转、连接、互通的其他层面主机扩大调查。
(二) 由外而内进行调查
此种调查常见于已有外因造成的明显异常现象发生,由企业内部人员发现而主动通报,但尚无法确认哪些数据受害。因此调查起点先定位于外来联机的异常记录,如防火墙或IPS记录等;进而向内深入调查所有被接触过的主机及其延伸范围。
除了针对前面所提及的各种层面的完整稽核轨迹日志(包含数据库、网络防护监控设备、应用系统、服务器平台、操作系统、联机软件与防病毒软件等),进行人、事、时、地、物交叉比对的反常分析,以试图找出完整的犯规轨迹之外;针对单一嫌疑主机的深入调查也是十分必要的,专业人员利用特殊分析手法,在完全遵循数字鉴别原则的情况下,针对嫌疑者的行为执行数字采证。
三、调查完成后
在查明事件起因后,计算机取证专业团队会出具调查报告给管理阶层参阅,并对资讯人员提出相关强化方向的建议,将因事件所获得的数据文件完整移交给企业方人员;但若企业有委托保存数字证物的需求,则由外部专业数字鉴别实验室进行最严谨的数字证物托管,直到诉讼程序或委托结束。此外,假使企业认为有必要进行后续诉讼程序,鉴别顾问也会协助证据的呈交准备,并陪同企业代表(如法务人员)向执法单位进行证物的相关说明。
随着《个人资料保护法》逐渐为大众所熟悉,个人资料泄漏已成为企业不可忽视的潜在风险,对于事件查明的责任,已成为企业必须深思的议题。事件调查之前的企业准备、事件调查过程的实际方式与调查结束后企业所能获得的益处与后续帮助,皆可作为企业因考虑组织人力与公正性,而决定采用与专业第三方协同调查时,可遵循的良好实务经验。
企业敏感信息保护之道
回顾过去几年,因企业敏感信息泄漏而引发信息安全事件的有关报道不断见诸各种媒体,由此引发的种种风波,对相关企业的声誉、财务和合规方面都产生了不容忽视的影响。作为企业风险管理方面的专业咨询机构,德勤在与各行业的交流中,注意到企业决策层日益重视敏感信息防护,部分企业已经采用了数据泄漏防护 (Data Leakage Prevention,DLP) 等安全技术方案。这些产品在一定程度上为敏感信息建立了一道技术防线。然而,很多客户抱怨高昂的信息技术开支并没有明显改善企业在敏感信息保护方面的成效,一些用户由于日常工作受到功能复杂的安全工具的干扰,导致工作效率降低而不得不最终放弃之前投入巨资的保护方案。怎样才能全面有效地保护敏感信息,为企业经营管理保驾护航?我们听到了来自企业越来越多的疑问和困惑。
本文首先概述保护敏感信息的必要性以及DLP产品的主要功能及其局限性,然后介绍德勤在保护企业敏感信息方面的整体方法和思路,并探讨敏感信息保护体系为企业带来的价值。
一、何为企业敏感信息
近年来,企业的业务运转越来越依赖信息系统的支撑。企业中的大量数据,在不同业务部门、业务流程和信息系统间持续地生成、保存和传输,有时还需要与外部第三方进行数据交换。
一般而言,企业对于具有一定商业价值的信息都应采取必要的保护措施。其中具有重大商业价值,并直接影响企业竞争力和正常运营的核心数据一旦泄密,会给企业带来较大的声誉和经济损失,甚至面临法律风险或产生其他负面影响。这些核心数据,必须对其采取完整和充分的保护措施。这些也就是我们所称的企业敏感信息。
从存在形式来看,敏感信息可以是数据库信息、XML文件、应用系统内的数据、有详细属性的文件等结构化数据,也可以是邮件、模板、音频、视频、图像以及纸面文档等非结构化数据。从数据类型来看,敏感信息可以是经营管理类或技术类信息,也可能是员工或客户的隐私信息。数据所面临的威胁既可能来自内部,例如心怀不满的员工、合作伙伴等;也可能来自外部,例如商业间谍、网络钓鱼、黑客攻击等。
无论何种形式或类型的企业数据都可能面临来自内外部的威胁和攻击。
二、敏感信息保护正越来越受到企业重视
尽管大部分企业在战略角度对敏感信息保护的重要性都有一定认识,伴随着组织架构、业务范围、信息技术等不断变化,企业又常常顾此失彼。当前,敏感信息所处的外在环境愈来愈趋于复杂,敏感信息防护需求正成为企业决策者在信息安全领域最为关心的要素。
·全球化。在世界不同国家和地区开展业务的企业,可能有不同的基础架构和信息管理系统,使用不同的第三方服务提供商,使用不同的采购和销售流程,面临不同的法律监管要求。
数据泄漏在不同行业和规模的企业中层出不穷。
·数据流动。如果没有对敏感信息的流向和载体进行必要的控制,则敏感信息的跨部门、跨机构传播和复制存在很高的泄漏风险。
·数据爆炸。据IDC统计,仅2010年,全球企业就产生和复制了过万亿GB的各类企业数据,超过之前5年内数据之和的9倍。规模的不断增长使企业敏感信息的有效管理成为更加复杂的挑战。
·移动技术和云技术的广泛运用。近几年,云技术和移动应用的迅速发展,如无线网络、移动存储、移动计算(例如iPad、智能手机)、云服务(IaaS、PaaS、SaaS)等,使信息的访问途径和方式得到了前所未有的扩展。据有关调查,约56%的公司认可并允许雇员在工作中使用个人信息处理设备,31%的雇员拥有的移动设备连接于公司网络,其中66%为笔记本,25%为智能手机,9%为平板电脑。
无论是有意还是无意,随时可能发生敏感信息泄漏。
随着数据规模的不断扩大,越来越多的数据泄漏事件随之而来。近年来的趋势表明,企业敏感信息已经渐渐成为企业不正当竞争甚至网络犯罪的牺牲品。在利益的驱动下,一些敏感信息可能最终被泄露给竞争对手或是不法分子。近些年各行各业信息安全事件证明了这一点:
·2012年3月:某保险公司泄漏了上千投保人和受益人的电邮地址。
·2011年10月:某零售企业泄漏了包含大量机密客户信息的EXCEL文件。
·2011年7月:某保险企业泄漏了700多条个人姓名和社保账号信息等客户机密信息。
·2011年4月:某信用卡加工公司,在重大的数据泄露事件中泄露了众多邮件地址。
进一步的研究还表明,在处理敏感信息泄漏的过程中,事件监测、事件通报、事件响应、长远业务损失等每个环节都会带来额外的成本和其他负面影响。
DLP工具可以部署在企业的存储、网络和终端设备上,例如:
·存储。DLP工具的一个基本功能是能够找出特定的文件,例如电子表格和文字处理文档,不论它们保存在文件服务器上、区域网络上,或是在终端上。一旦找到之后,DLP工具还会对文件内容进行扫描来确定是否存在敏感信息。
·网络。使用特定的网络技术对网络流量进行捕捉和分析,并能够检查传输中的数据。如果发现敏感信息的流向未经授权,DLP工具可以根据预先定义的规则发出警告并阻挡数据流。
·终端。一般通过运行客户端Proxy软件来实现对本终端操作的管控。终端管理主要旨在管理用户在工作站上进行的数据移动操作,例如拷贝数据到U盘、发送信息到打印机、在应用程序间剪切和粘贴等。
但是,随着企业信息安全建设的深入,企业往往会发现,仅通过部署DLP工具并不能很好满足管理层对敏感信息保护的期望。主要面对的挑战和原因如表2所示。
因此,我们认为要建设持续有效的企业敏感信息保护体系,必须从整体的角度出发,不仅需要关注技术,更要关注治理、人员组织和流程,建立自上而下的保护体系。
四、企业敏感信息保护体系
企业敏感信息保护体系应该与企业信息安全保护体系紧密结合,在治理、人员、流程和信息技术各个层面综合考虑。
(一) 治理
敏感信息安全战略应当与企业信息安全规划紧密结合,并考虑企业战略、IT规划、风险管理和合规要求等,并在制订和推行过程中争取企业高层的充分支持和参与。企业应当认识到,加强敏感信息保护和信息安全的工作并不是一次性地对信息技术做出投入,而是一个建立并持续改进的过程。总体而言,企业敏感信息规划中应当包括下列专题:
(1) 信息安全和敏感信息保护策略;
(2) 信息安全治理的组织架构;
(3) 安全与系统开发和采购的结合;
(4) 信息分类的级别定义;
(5) 风险管理战略;
(6) 应急计划和事故处理;
(7) 信息安全意识和培训;
(8) 法律和规章责任;
(9) 外包管理。
(二) 人员
信息安全不仅仅和IT人员有关,而是和各业务条线、各层级管理人员都有关系。建立适当的信息安全组织对企业范围内的敏感信息进行保护,并对职责进行合理分配和划分。具体来说,企业中需要下列信息安全角色:
(1) 信息安全协调小组,负责协调跨部门/业务单元的信息安全问题;
(2) 高层信息安全官员,负责处理企业内与信息安全相关的事务,并与管理层持续沟通。
信息安全协调小组和高层信息安全官员应具有明确规定的职责和足够的经验。企业应为高层信息安全官员提供明确的沟通路径、角色和充分的授权,并由信息安全协调小组审批。
此外,企业还应当考虑为关键项目和应用系统指派信息安全专员,并向高层信息安全官员负责。这些专员的职责包括制订和实施专门的安全计划,对信息安全防护措施的实施和使用进行日常监督,以及协助调查信息安全事故等。
(三) 流程
为了有效地保护敏感信息,可结合企业的信息安全管控现状,有针对性地制订一系列管理制度和标准,包括:
·信息安全流程制度,包括信息安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件管理、业务连续性管理、符合性等方面。
·敏感信息安全管理流程,包括通信传输管理、存储管理、移动介质管理、归档管理、超级用户管理、第三方信息交换管理、日常操作管理等方面。
·信息分类分级管理流程和制度,包括数据资产密级划分、数据资产分类管理等方面。
·信息安全内部审计管理,包括信息安全内部审计框架、信息安全管控有效性衡量指标等方面。
建设企业敏感信息保护框架,不仅需要关注技术,更要关注支持和配合系统的人员组织和流程。
(四) 信息技术
针对承载敏感信息的信息技术环境所存在的弱点和威胁,提出相应的技术风险处置建议。根据企业的风险接受程度和优先级,技术措施可以包括下列内容:
1.改进现有系统的信息安全控制
通过配置改进等系统优化方法,增强网络设备、服务器、软件、终端、存储等薄弱控制环节。相对而言,这类针对单一控制点的改进措施的投入成本较低,可在短期内改进完毕。
2. DLP产品
根据企业自身需求和数据保护的技术措施建议,选择实施主流的DLP产品,从终端、网络和存储方面,对特定的高风险领域实施技术管控措施。
3.身份管理和访问管理
通过单点登录,联合身份认证等技术,IAM可以帮助统一不同应用系统间的用户身份,有效施行访问控制矩阵和职责冲突检查,为更自动化和智能化的敏感信息保护体系做好准备。
4.安全事件响应和事故管理
SIEM产品通过连接企业的不同系统并对海量信息安全日志进行实时分析和监控,自动化和智能化地识别出需要及时响应的安全事件,保证高优先级的安全事件能够得到及时响应和处理。
五、德勤的敏感信息保护方法论
德勤的敏感信息保护方法论已经协助不同行业和规模的企业建立了行之有效的保护体系。总体来看,我们的方法是首先协助企业建立企业敏感信息保护的管理体系,再根据企业自身需求提供恰当的技术实施方案。
在体系建设中,德勤协助企业规划和建立以敏感信息保护为重点,兼顾企业信息安全管理需求的信息安全管理体系。体系建设的主要工作有:信息安全成熟度和差异分析、敏感信息分析、风险评估及风险处置、敏感信息保护建设规划。在安全产品的技术实施方面,德勤为企业进一步提供产品选型、质量保证或产品实施服务。
需要指出的是,我们的整体方法可以基于企业需求和保护目标来定制。
(一) 敏感信息保护体系建设
不难看出,体系建设是企业敏感信息保护体系的核心工作,也是实施产品的前提。以下将展开介绍这部分工作,并以敏感信息分析和风险评估为例介绍分析方法。
在体系建设中,我们的工作将分为以下几个步骤:(1) 从客户自身需求和法律法规、行业监管要求、合同协议等方面切入,以德勤信息安全管理框架为基础,经过信息安全成熟度分析和差异分析,了解企业的信息安全现状;
(2) 调研敏感信息的分布情况、存在形式、业务类型及业务影响;
(3) 进行数据分析,识别数据经过的组织和人员以及承载数据的各类信息载体等要素,进行风险评估,并制订相应的风险处置计划;
(4) 最终根据所指定的风险处置计划,自上而下地建立以敏感信息保护为重点的信息安全管理体系。
(二) 人员参与
在敏感信息保护体系建设的过程中,适时和充分的人员参与至关重要。企业或组织应该建立信息安全委员会指导该项目的活动,并在授权范围内充分调配企业的各项资源给予支持。
在制订正确的保护策略、识别业务数据生命周期、明确数据责任人、进行风险评估等工作中,都需要管理层和不同业务条线的参与和判断。从我们的经验来看,下列人员应该参与:法务、隐私、公司安全、信息安全人员。
· IT工程和运营人员。
·人力资源管理和员工代表。
·关键业务代表。
·高级管理层。
还应当制订信息安全意识和风险管理等方面的培训计划以保证员工能意识到自己的工作角色和职责,确保需要接触敏感信息的员工接受了和公司安全策略相一致的适当培训,并且保证只有有业务需求的员工才能接触到敏感信息。
(三) 敏感信息分析和风险评估
风险评估通过对敏感信息相关的信息资产进行调研分析,识别出与之相关的弱点和威胁领域,进而评估敏感信息所面临的风险。所以在体系建设工作中,风险评估起着关键作用,直接影响到后续的风险处置计划。
敏感信息经过的组织、人员和系统等信息载体,既是风险评估过程中必不可少的输入项,也是评估敏感信息泄露风险的基础。因此准确和完整地识别各类敏感信息的信息载体,是体系建设的重中之重。
1.调研访谈
通过对敏感信息相关责任人和其他负责人的访谈,了解数据的业务实质,以及数据在生成、存储、使用、共享、归档、销毁等不同环节的流转过程。
2.信息载体的识别和分析
根据所了解的情况,通过工具分析,识别出人员、软件(系统)、硬件(系统)、服务(内部/第三方)等承载和传递数据的载体。
3.载体分类和整合
依照载体的自然属性、所面临的特定弱点和威胁等,将载体分类归纳为风险评估的输入项。
4.深入分析
结合现有的风险控制现状和风险管理办法,识别载体所面临的威胁以及相应的控制措施(见表5)。
5.风险量化
对敏感信息的最终风险值进行量化和分级。具体来说,是综合在生命周期中各环节承载敏感信息的载体的风险控制措施、弱点暴露程度以及风险损害程度,并结合敏感信息的影响程度,计算出风险终值。
六、敏感信息保护体系的价值
敏感信息保护体系对于企业组织的战略、运营和管理等方面具有重要的意义:
保护关键业务数据和知识产权。敏感信息保护体系的主要价值之一是更好地保护关键信息免受泄漏。企业中保存了许多类型的信息,出于竞争、合规要求、声誉影响等理由需要对它们进行保护。
减少数据破坏的风险。通常数据泄漏事件会对企业造成一定的财务影响,通过减少数据泄漏的风险,可以降低企业的财务风险。
增强管理层信心。完整的敏感信息保护包括了战略和规划、组织和人员、员工培训和意识教育程序、管理流程和数据保护制度,以及相应的技术措施等内容。它使管理层确信,企业范围内的敏感信息已经在组织各层级得到了充分重视,进行了充分的识别和分类,依据不同的风险,区分施行了必要的保护措施。
消除合规风险。根据相应的法律法规和合同/协议等要求建立的敏感信息保护体系,将消除因数据泄漏或审计发现等而导致处罚的风险。
七、结束语
众多企业已经认识到敏感信息对于企业的生存和发展至关重要,是企业最值得保护的信息资产。一旦发生意想不到的数据泄漏,所引起的经济成本、隐性成本及法律风险,可能使企业面临不堪承受之重。
为了提高企业管理关键数据资产风险的能力,全面的敏感信息保护应自上而下,由战略和人员意识、组织架构和职责、流程制度和技术措施等部分组成。充分的计划和准备、必要的沟通、贯穿始终的安全意识教育等都是保障项目成功的重要因素。
银行信息科技安全风险管理探讨
中国银监会于近期发布了《银行业金融机构信息科技外包风险管理指引》,这是银监会自2009年发布了《商业银行信息科技风险管理指引》后,根据信息科技的发展形势,在信息科技安全风险管理方面适时出台的系列信息安全风险管理政策、办法和规定之一。另外,银监会在2012年成立了信息科技监管部,种种迹象表明,信息科技风险管理将成为日后信息科技监管的重点。
随着经济的快速发展和对外开放的不断深入,我国银行业务快速发展,同时信息科技也呈专业化、集中化、规模化的发展趋势。信息科技与业务的联系越来越紧密,不仅成为业务开展的必要基础支持,甚至于在部分传统业务领域,信息科技已开始引导银行由传统业务向信息科技变革。随着监管机构的合规要求越发全面与严格、银行内部对于信息科技管理要求的不断提高、大数据的高度集中化、与第三方机构合作的内容与形式日趋多样化,信息科技安全的风险隐患也日趋严峻。信息安全风险将远远超出操作风险的定义,如何做好信息科技安全风险管理工作,将成为银行抵御互联网金融对传统金融行业的冲击,提高核心竞争力的工作重心之一。因此,建立与信息科技发展趋势相适应的信息科技安全风险管理体系,已成为当前银行信息科技风险管理工作中必须关注的重点。
一、现状
当前银行业大多将信息科技风险作为操作风险的一部分,纳入银行全面风险管理体系当中进行统一管控。但是,信息安全风险具有其自身的特殊性。
(1) 范围延展性。按人们传统思维的理解,信息科技安全的范围仅仅指电脑系统里的符号组合,如数字、文字、图像,或是计算机代码等虚拟数据。但随着信息技术的发展,信息载体的推陈出新,信息科技安全的范围定义不断被放大,除了电子化的数据外,还包括了各种非电子化的信息载体(如书面文档、U盘、备份磁带,甚至员工手机等自携设备等)。
(2) 复杂与不稳定性。随着银行核心业务系统不断的功能开发,银行各业务条线的业务操作越发依赖于系统平台;业务外包的内容不断增长,形式越发复杂;日新月异的信息科技发展对传统银行业务的冲击越来越大。由于管理因素、技术因素的多重作用,导致偶发性和不确定性突出,使得风险控制的复杂度大幅提高。
(3) 成本损失不确定性。信息系统一般支持多个业务,如发生事故,所造成的直接成本损失非常小,但造成的间接损失影响范围往往涉及面广且难以评估其影响与损失。如某分行柜台系统后台服务器由于信息安全事故而不能正常运作,其直接损失可能仅为一台服务器主机的成本,但所带来的间接损失的影响面却非常广,如额外维修所产生的人工和硬件成本、受其影响而无法操作柜台业务所带来的业务收入减少、由于银行不能持续为用户提供柜台服务所带来的声誉损失等,这部分的损失涉及因素众多而且非常难以计算其损失金额以及恢复成本。
因此,随着银行业务的发展和技术进步,在操作风险模式下管理信息科技风险也存在明显的困难。一是目前的操作风险管理方法中对信息安全风险的管理方法涉及较少,难以兼顾信息安全风险的技术专业特性,难以实现对信息安全风险的有效管理;二是风险监管资本计量未能充分考虑信息科技风险因素,信息安全风险造成的损失及其相应的监管资本计量存在一定的困难。
基于信息科技安全风险的自身特点及其管理中遇到的特有挑战,应对信息科技安全风险进行独立管理。
二、思路
针对银行信息科技风险管理的特点,我们设计了银行信息科技安全风险管理体系,为银行提供全面、灵活、高效的信息科技风险管理整合解决方案。
德勤的“信息安全风险管理框架”结合了国内外的行业标准以及最佳实践(如COBIT、ISO 27001等),从授权与控制、IT管理及IT支持流程、身份认证和访问管理、应用系统安全、架构安全、数据安全六方面阐述了企业信息资产在完整性、可用性及保密性等方面面临的信息安全风险以及相应的内部控制目标。该框架提供了信息安全风险的评估测试指导并可作为预设的成熟度模型,从战略的层面支持改进企业的信息安全管理。
三、实施
第一阶段,我们以德勤的“信息安全风险管理框架”为基础,同时与银行外部监管要求以及其他相关要求等不同方面的要求进行匹配,基于上述要求补充并完善“信息安全风险管理框架”里的风险及对应的控制措施,生成银行信息科技安全风险控制基础库。
第二阶段,我们以银行信息科技安全风险控制基础库为基础,针对银行需求挑选外部要求与标准、银行内部的内审要求以及相关的制度法规,识别银行独有的风险以及各控制措施,为银行定制适合其需求的信息科技安全风险控制库。并以此控制库为核心,完善相关的工作规划、流程、底稿模板、风险评估标准等,从而逐步完善其信息科技风险管理体系。
四、应用与价值
(一) 统一规划,改善沟通,提高效率
以信息科技安全风险控制库为基础,综合统一管理内/外部的多层次要求,形成统一的检查工作流程和模板,并以此为基础开展信息科技安全风险审计工作。
加强“总行—分行—支行”在信息科技安全风险管理中的协同性和一致性,有效管理信息传达的一致性,减少在应对内部(如信息科技部门与业务部门)以及外部(如监管机构的监管要求)的不同需求时的反复沟通,避免沟通信息失真,从而提高信息科技安全风险管理的工作效率。
使用统一标准的测试流程以及工作模板,基于“总行—分行—支行”统一高效的沟通与理解,减少应对各层面的繁复检查工作,高效执行信息科技安全风险测试评估工作,提高工作效率。
(二) 完善现有信息科技风险管理体系,优化资源规划
在体系的建立过程中,可同时梳理现行制度。利用信息科技安全风险控制库,将监管要求与银行内部制度做横向对比,即可发现银行现行制度与相关的监管要求之间的匹配情况,从而清晰定位出现行制度的“空白区域”,为完善制度体系提供全局视图。
通过不断汇总收集各种信息科技检查工作的结果反馈,包括总行各业务条线的相关IT支持,汇总并分析测试结果,结合固有风险评估结果,对剩余风险执行多维度的综合分析(如不同风险领域、不同级别类型的分行等)。根据分析结果更合理地对有限的IT资源进行规划,优化检查工作计划并调整各分行的检查重点,以提高每次检查工作的针对性、有效性,为信息科技安全风险管控规划提供基础。
(三) 及时更新以应对内外环境的不断变化
信息科技安全风险管理体系应迎合内外部环境的变化而不断更新,以使银行能及时响应信息科技安全风险变化的需求。可从两个方面进行体系更新:
首先,银行要根据业务战略目标调整、信息安全管理水平提升、内部制度以及信息安全工作规范变更等内部影响因素,自行持续更新信息科技安全风险管理体系中的风险控制活动内容。
同时,我们也将充分利用丰富的金融行业咨询业务以及相关的金融企业审计经验,及时洞悉监管要求以及行业标准等外部环境的变化动向,向银行不定期发布更新包,保证其信息科技安全风险管理体系的及时性与完整性。
五、结束语
随着信息技术的飞速发展,银行业对信息科技的依赖越来越大,大数据、云计算、物联网等新技术既加快了银行业的创新发展,也对信息安全风险管理提出了更高的要求。快速变化的外部环境,开放的互联网环境,技术类企业、第三方平台等非金融机构与银行业的业务服务不断融合等,所有这些都使得信息科技安全风险管理与监管面临着更加现实的挑战,需要我们不断地思考和研究,提高信息科技安全风险管理能力,以适应内部发展要求以及外部不断变化的环境。
注释
[1]. Evernote遭黑客攻击:要求近5千万用户重置密码.中国信息产业网
[5]. KhalidKark.CalculatingTheCostOfASecurityBreach.ForresterResearchMagazine(April10,2007).
[6]. 经济合作与发展组织:《关于保护隐私和个人数据跨国流通指导原则》
[7].国际隐私权专家协会(IAPP). 2012隐私专业人员的角色、职能及薪酬调查.
聚合中文网 阅读好时光 www.juhezwn.com
小提示:漏章、缺章、错字过多试试导航栏右上角的源