第六章 結論與建議
第二節 我國發展個資管理標準與國際接軌
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
業生態鏈重視行動商務隱私安全問題。
其他屬於一般性規範之行動應用軟體隱私標準,如 W3C 提供最 佳應用案例作為參考標準,目前尚在倡議階段,形成發展中。在行動 應用軟體隱私標準倡議方面,目前有:W3C 行動網路最佳應用案例 標準,行動 Web 應用軟體最佳應用案例標準;GSMA 行動應用發展 隱私設計指南;MEF 行動應用軟體隱私倡議。
除遊戲軟體之外,隨著社交網路、金融、醫療、行動應用軟體商 店、行動定位服務等發展,行動應用軟體將快速成長,相關行動軟體 隱私標準需求將應運而生。但標準之發展採取共識決,平均需要四、
五年時間,在利害關係團體推拉角力之下,預期未來的標準發展仍將 是波折不斷。
不論是我國個資法或是歐美個資與隱私保護法制,即使有相關施 行細則,也很難充分因應各個專業領域之需要,仍須有清楚明確的隱 私保護做法。再則,我國個資法輔施行,相關司法判例闕如,個資法 所指之各目的事業主管機關,對於相關管理辦法之訂立未盡完備前,
產業實難以適從。本研究臚列之國際隱私保護標準,包含金融、醫療、
Web、雲端和行動應用軟體等,皆為國際標準組織因應市場需求,與 法制要求,經過嚴謹的審核和測試流程,在共識下所產出者。雖然隱 私保護標準仍在演進中,但絕大多數標準提供應用情境案例與建議,
例如,描述個人資料應如何細緻地處理,建議資料保存方式,應如何 確保資料安全,可以保存多久?資料須分享應如何做?設計使用者可 以如何存取、更新和刪除資料?以及建議使用者對有關資料處理之選 擇等。國際隱私保護標準可提供產業界參考依據,針對實際應用需 求,在管理制度面、系統面和應用面上,進行實質的管控。
第二節 我國發展個資管理標準與國際接軌
如雨後春筍般蓬勃發展的行動應用軟體,因具有個人化應用服務 特性,使得隱私難防,爭議不斷,但運用資訊科技保護隱私似乎最為 直接有效。資訊科技具有為我們取得「適當的資訊使用」和「有效的 個人資料隱私保護」兩者之間平衡點的能力;資訊科技內含的選擇可 能性,具有制定隱私保護遊戲規則的意義。實際上,這些用來保護資 訊隱私之資訊科技,必須透過適當的法律規定和執行措施,方能發揮 最大的效用。換言之,政府應該承擔的責任,除了隨時密切觀察科技 對資訊隱私保護的正負面影響之外,如何建構出有效率之科技與法律 整合的資訊隱私保護模式,而非純粹仰賴法律、產業自律或科技等任
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
何單一機制來保護資訊隱私,恐是當務之急221。
過去我國個人資料相關法制落實範圍有限,產業界與消費者對於 正確的個人資料保護觀念並不清晰。加上我國新版個人資料保護法規 定複雜,企業因應困難,包括電子商務產業在內等各行業,已普遍表 達因應條文規範有困難,亟需相當的輔導與協助。國際資訊安全認證 標準,如ISO27001 主要係針對企業及組織整體資訊資產的保護,並 非未針對個人資料保護相關法制,不足以協助企業遵循我國法制,況 且資訊安全管理制度之導入成本,對於中小企業而言係極大之負擔,
並無法符合國內企業成本架構。各國個人資料法制規範與環境之不 同,相關制度無法直接移植供國內產業應用,因應電子商務國際化,
跨境個人資料保護已刻不容緩222。國際隱私保護標章之推動,即有助 於企業因應各國個資和隱私保護法制之施行。
美國民間組織TRUSTe,依循美國各州政府和業界個人資料保護 準則,包括加州線上隱私保護法(California Online Privacy Protection Act)、聯邦反垃圾郵件法(Federal CAN-SPAM Act)、聯邦貿易委員 會批准的公平資訊慣例(Fair Information Practices)以及美國商業部 的安全港隱私保護原則(Safe Harbor Privacy Principles),1997 年訂定 TRUSTe隱私標章計劃(Privacy Seal Program)鑑定許可證持有人,
遵守美國商業部和歐盟的安全港架構(EU Safe Harbor
Framework)223。日本情報處理開發協會(Japan Information Processing Development Corporation, JIPDEC)負責P-Mark認證核發,P-Mark是 於 1998 年訂定一套標準,用以認證民間企業已按照日本工業標準(JIS Q 15001:2006 個人資料保護管理程序-要求事項),採取適當的措 施保護個人資料224。於 2008 年開始實施的歐盟EuroPriSe(European Privacy Seal),提供符合歐盟個資保護指令之IT產品和服務認證225, 為了進軍歐盟市場,國際企業產品服務亦尋求EuroPriSe認證,以符合 歐盟要求。
參考日本「個人資料管理制度(JIS Q 15001:2006)」及隱私權
221 劉靜怡,網際網路時代的資訊使用與隱私權保護規範,前揭註,頁 158。
222 參考 http://www.tpipas.org.tw,最後上網日期 2013/6/17。
223
http://clicktoverify.truste.com/pvr.php?page=validate&url=www.travelzoo.com&sealid=102&lang=zh-t w;
http://www.sans.org/reading-room/whitepapers/privacy/comparison-online-privacy-seal-programs-685 (last visited 2013/6/20)
224 プライバシーマーク制度,http://privacymark.jp/privacy_mark/about/outline_and_purpose.html,
最後上網日期 2013/6/20。
225 European Privacy Seal, https://www.european-privacy-seal.eu/about-europrise/ (last visited 2013/6/20)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
標章(Privacy Mark, P-Mark),我國經濟部委由資策會研擬臺灣個人 資料保護與管理制度規範(Taiwan Personal Information Protection and Administration System, TPIPAS),為新版的個資法量身訂做,協助企 業因應法制面的衝擊,並權衡企業之成本,設計符合我國產業之個資 管理制度,初期推動是以電子商務產業為主。電子商務業者在導入 TPIPAS且驗證申請通過後,經濟部將核發「個人資料隱私保護標章
(Data Privacy Protection Mark, DP Mark)」,使消費者辨認是否為合於 個資保護規範之業者,希望能以良性循環之方式,增進消費者對於電 子商務環境之安全信賴感。2011 年完成TPIPAS制度設計,為符合國 內個人資料保護法規範與國際組織要求,協助企業遵循國內個資法制 並降低責任風險;鼓勵電子商務產業導入管理制度,有效降低國人資 料外洩風險,提升消費者信心;推動隱私標章作為企業識別,提升業 者信譽;與國際規範相互配合,有助跨國電子商務推展226。目前我國 TPIPAS係由經濟部商業司推動,仍以商業司主管的產業為主,至於 其他部會主管機關的產業,暫不列入範圍內。但TPIPAS仍可依據產 業特性往上發展,例如電信、金融、醫療、保險等,皆有該產業特有 之法規,以及面對個人資料保護方面之特有要求227。
BS 10012 規範蒐集目的,TPIPAS則側重於有效蒐集程序。在「責 任原則」部分,BS 10012 規範轉包處理,TPIPAS已擴及委外監督義 務;在「告知原則」部分,BS 10012 規範穩私權聲明,TPIPAS則定 調在告知義務及相關程序要求;在「安全管理原則」部分,BS 10012 規範安控及程序,TPIPAS以安全措施要項為基準。至於ISMS
(Information Security Management System)(ISO 27001)與TPIPAS 之差異性比較,ISMS主要參與人員皆為IT同仁,TPIPAS主要人員為 業務相關同仁,參與人員則涵蓋法務、業務、後勤及資訊;ISMS對 象為企業核心系統,其範圍可以是局部,由企業自訂,TPIPAS對象 是企業所有個資相關系統及流程,但範圍為企業全體、不可分割。
ISMS管理責任在於各企業滿足合約要求,TPIPAS由個資蒐集單位負 全責,當然也包含委任及複委任;ISMS資訊來源基礎為資訊資產盤 點,TPIPAS範圍則更大,除了資訊資產盤點外,還有業務特定目的、
個資盤點及作業流程;ISMS的軌跡資料在於紀錄完整性,TPIPAS係 在於法律有效性。如果選擇ISO 27001、TPIPAS兩者皆導入,可同時 滿足技術面、法律面及程序管理面要求,ISO 27001 是滿足技術面需 求,著重在基礎架構的管理,TPIPAS則是滿足程序管理面需求,重
226 參考 http://www.tpipas.org.tw,最後上網日期 2013/6/17。
227 洪羿漣,透過認證標章減輕法律風險 因應個資規定 適法性最要緊,2012 年 9 月 3 日,
http://www.netadmin.com.tw/article_content.aspx?sn=1208280009,最後上網日期 2013/6/17。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
點在於法律遵循228。
TPIPAS是經濟部針對個資法而設計的管理制度,後續仍將配合 個資法修正及施行細則進行微調,並將討論與其他個資隱私標章交互 驗證的機制,待制度建立完善後,期望可交由民間法人團體自主營 運,政府只扮演監督的角色。TPIPAS未來也將可能成為國家標準229。 資策會於 2012 年 8 月邀集公協會與顧問公司等組織,如銀行公會、
醫師公會、會計師公會、證券商業同業公會、電機電子工業同業公會 等,成立個資管理標準推動聯盟。將草擬一套個資管理標準草案,參 考包括TPIPAS、公務機關個人資料保護執行程序暨考核作業手冊和 國際相關標準等,如草案通過審議,可成為各產業遵循的國家標準之 一230。
導入產業自律的標章驗證制度,將會因各國國情及法律素養的不 同,產生不同的成效。透過信賴標章這類產業自律規範,發展成為具 有效力之民間保護標準,甚至是國家標準,進而與國際標準接軌,至 少可以降低企業為遵守法規所投入之成本。