美國法上之管理措施

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第四章 企業就客戶資訊可採取之管理措施

經過前述法規介紹，可知悉針對客戶資訊之保護措施，美國個人資訊隱私相 關法規稱為「合理安全措施」，而統一營業秘密法、經濟間諜法則稱為「合理保密 措施」；我國個人資料保護法稱為「適當安全措施」，而營業秘密法則稱為「合理 保密措施」。台美就個人隱私資訊之保護措施採取不同用語，但就營業秘密保密措 施則採用相同用語，如此立法用語是否與措施內容之異同有關?此乃本章所欲探討 之議題，以下詳述之。

第一節 美國法上之管理措施

壹、個人資訊隱私之合理安全措施

美國商業部所屬之科技標準局(National Institute of Standards and Technology, NIST)針對個人資訊隱私的安全措施，目前已推出一套標準:個人資訊隱私指南 ( Guide to Protecting the Confidentiality of Personally Identifiable Information

(PII)¹³⁸ )，以供企業遵循。該標準認為，個人資訊隱私須藉由各種綜合措施加以 保護，包含「作業保護措施」、「資訊隱私之特殊安全措施」及「安全控管措施」

等面向。企業應使用以風險為評估基礎的方式來保護個人資訊隱私，且以下所述 之措施可作為企業整體資訊安全系統的一部份。

一、作業保護措施

       

138 Erika McCallister. Tim Grance. Karen Scarfone, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII), National Institute of Standards and Technology, Special Publication 800-122. 詳參http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (最後瀏覽 日:2014/05/30).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

此部分提供可作為個人資訊隱私保護之兩種類型措施:「政策及程序制定」、

「提示、員工訓練及教育」。企業在建構保護措施以保障客戶個人資訊的同時，亦 應確保已配置適當之人力，負責使該措施得以如預期般妥善運作。

(一)政策及程序制定

企業須發展出全面性的個人資訊隱私保護政策及流程，包含在組織層面、程 式或零組件層面與系統層面¹³⁹。隱私政策之種類可包含基本隱私原則、隱私權保 障之行為規範、法定義務之執行政策及系統政策等。「基本隱私原則」反映企業之 隱私保障目標，亦可作為發展更多政策及程序之準則規範。「隱私權保障之行為規 範」就如何妥善處理客戶個人資訊，提供一套行為準則，以及未遵守之後果。「法 定義務之執行政策」則涉及企業在其所經營之業務範圍內，如何落實法律規範之 要求。以下就企業在發展個人資訊隱私保護政策及流程之過程中，所應考量的主 題加以臚列:

1.在系統中，欲接觸客戶個人資訊時所應遵守之規範 2.客戶個資保存之時間表及程序

3.個資事故之應變及資安缺口之通知

4.在系統發展週期的過程中，客戶資訊隱私之保護 5.客戶個資蒐集、使用、揭露、傳輸之限制

6.未遵守行為規範之後果

若企業允許藉由聯外系統等方式接觸或傳輸客戶資訊，企業勢必須簽定適當 的書面協定，規範員工之權責分工、限制廣泛散布資訊、資安缺口發生時之通知 義務、安全管控之最低限度及其他要件。而技術層面之要求上，亦應符合互聯系 統安全協定(Interconnection Security Agreements, ISA)之規定，該等協定要求成員        

139 There are laws and Office of Management and Budget (OMB) guidance that provide agency requirements for policy development. For example, OMB Memorandum 05-08 requires that a “senior agency official must…have a central policy-making role in the agency‘s development and evaluation of legislative, regulatory and other policy proposals which implicate information privacy issues….”

Additionally, the Privacy Act requires agencies to “establish rules of conduct for persons involved in the design, development, operation, or maintenance of any system of records, or in maintaining any record, and instruct each such person with respect to such rules and the requirements of…” the Privacy Act

“including any other rules and procedures adopted…and the penalties for noncompliance.” 5 U.S.C. § 552a(e)(9).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

須遵守個資處理、揭露、分享、傳輸、保存及使用之相關規定限制¹⁴⁰。

企業之客戶個資管理亦包含企業之個資事故應變及處理流程。良好的事故應 變能力，讓企業得以迅速偵測到事故、將損害最小化、辨識自身弱點及迅速恢復 資訊系統之運作。

(二)提示、員工訓練及教育

提示、員工訓練及教育乃個別獨立的措施，每項皆在資訊隱私安全保護計畫 中扮演舉足輕重的地位¹⁴¹，以下分別加以介紹。

「提示」措施主要係為改變員工行為態樣或強化個資保護措施而設，其目的 在於使人注意到客戶個資保護措施之存在。此措施需藉由引人注目之方式，將其 所欲表達之意旨傳遞到企業每位員工身上，例如:提醒員工關於個資盜取之新型詐 騙手法；提供資訊外洩之相關新聞及其對客戶和企業之影響；提供企業員工曾因 違反個人資訊隱私規定而負法律責任之訊息，並建議適合的資訊隱私保障措施。

「員工訓練」之目的是為使員工有足夠知識和技術來保護客戶個資。企業應 有一套訓練計畫及其實施步驟，且企業之管理階層應向員工宣導個資保護的重要 性，而企業政策本身應規範員工訓練之權責分工，以及定期訓練與複習制度。為 降低客戶個資被不當接觸、使用或揭露之可能性，任何有權接觸個資者皆應接受 妥適的訓練，甚至是特殊職位之訓練。以下就訓練中應重視之主題加以介紹:

1.客戶個人隱私資訊之定義

2.企業所應適用之法規及內部政策 3.客戶個資蒐集、儲存、使用之限制 4.使用及保護客戶個資之權責分工        

140 See NIST SP 800-47, Security Guide for Interconnecting Information Technology Systems, http://csrc.nist.gov/publications/PubsSPs.html. (last visited: 2014/5/30).

141 Additional information on privacy education, training, and awareness is available in NIST SP 800-50, Building an Information Technology Security Awareness and Training Program.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

5.客戶個資之妥善處置 6.濫用客戶個資之制裁

7.認識客戶資訊保護措施或個資外洩等事件 8.客戶個資之保存時間表

9.客戶個資事件之應變、呈報的權責分工

「教育」則是發展出一套包含各類個資保護措施的知識架構，並培育資訊隱 私專業人員，由其負責落實一套完善計畫，使企業得以積極應對各種資訊隱私挑 戰。

二、資訊隱私之特殊安全措施

此類措施涉及保護客戶個人資訊隱私之控管，且在其他種類的資訊中多半非 必要措施。本類型措施幫助企業於蒐集、維護、使用、傳播客戶個人資訊時，得 以保護其資訊隱私，以下就其子類型加以介紹:

(一)減少客戶個資之使用、蒐集與保存

減少客戶個人資訊之使用、蒐集與保存乃一項資訊隱私的基本原則，藉由將 客戶資訊之蒐集限縮至執行業務所必要之範圍內，企業可限制因個資安全缺口所 導致的負面影響程度。企業應考量個資使用、蒐集、維護的總量及類型，並僅於 達成商業目的或業務需求之必要範圍內進行個資之蒐集；若客戶個資無法達成目 前的商業目的，則不應繼續蒐集或使用該等個資。

此外，企業應定期檢視¹⁴²其所持有之客戶個資，判斷該等個資是否仍屬達成 商業目的或業務活動所必需或相關¹⁴³。若已不再必須或相關，則該等個資應依照        

142 The frequency of reviews should be done in accordance with laws, regulations, mandates, and organizational policies that apply to the collection of PII.

143 The Privacy Act requires that Federal agencies only maintain records relevant and necessary to their mission. 5 U.S.C. § 552a(e)(1). Also, OMB directed Federal agencies to review their PII holdings annually and to reduce their holdings to the minimum necessary for proper performance of their missions. OMB M-07-16.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

聯邦紀錄法(Federal Records Act)以及經國家檔案紀錄局(National Archives and Records Administration, NARA)核准之記錄控管時程表之規定¹⁴⁴加以銷毀，而針對 淘汰的硬體，企業於報廢前亦應先將可能存放於硬碟中的客戶個資加以刪除¹⁴⁵。 依照NARA 所核准的處理時程，將客戶個資有效管理及妥善處置，可有效降低未 經授權而揭露個資之風險。

(二)執行資訊隱私之影響評估

資訊隱私之影響評估(Privacy Impact Assessments, PIAs)是一套資訊系統中，

用以辨識並減輕資訊隱私風險的流程。根據OMB，PIAs 是用來查核資訊處理過 程中之以下事項:

1.確認資訊處理流程符合法規及政策之要求

2.決定在電子資訊系統中蒐集、維護、散布可辨識個人資訊之風險及效果 3.辨識及衡量個資處理之替代措施，以降低可能之資訊隱私風險¹⁴⁶

若有效使用 PIAs，其將協助企業辨識在系統開發週期中，各階段之隱私風險，

故許多企業建立自己的模板作為執行PIAs 的準則。以下是使用 PIAs 的過程中，

常常被關注的議題:

1.什麼樣的客戶個人資訊被蒐集 2.為何該等資訊被蒐集

       

144 The Federal Records Act, 44 U.S.C. § 3301, defines records as ―[a]ll books, papers, maps,

photographs, machine-readable materials, or other documentary materials, regardless of physical form or characteristics, made or received by an agency of the United States Government under Federal law or in connection with the transaction of public business and preserved or appropriate for preservation by that agency or its legitimate successor as evidence of the organization, functions, policies, decisions, procedures, operations, or other activities of the Government or because of the informational value of the data in them. Agencies are required to create and maintain ―adequate and proper ∥

documentation of their organization, mission, functions, etc., and may not dispose of records without ∥ the approval of the Archivist of the United States. This approval is granted through the General Records Schedules (GRS) and agency specific records schedules.

145 For more information on media sanitization, see NIST SP 800-88, Guidelines for Media Sanitization, http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf. (last visited:2014/6/2).

146  OMB M-03-22, Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002, http://www.whitehouse.gov/omb/memoranda/m03-22.html. (last visited:2014/6/2).

 

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

3.該等資訊的預訂用途 4.該等資訊將與何人分享 5.該等資訊如何被保護

6.基於執行 PIAs，企業就資訊科技系統或個人資訊之蒐集做出如何的選擇

(三)個人資訊的去識別化

「去識別化資訊」係指資料記錄已將足夠的個人資料移除或模糊化，使得剩 餘資訊無從被用來識別特定個人。「去識別化資訊」僅得藉由密碼、演算法或假名 再加以識別，但該等密碼、演算法或假名不得基於該個人之相關資訊而設，且再 識別方式僅有權限者方得知悉，不得將其透露給無權知悉之人。常見的個人資料 去識別化技術，是將單向密碼函數(又稱為雜湊函數)適用在個人資訊上¹⁴⁷。以下 就此措施應注意之事項加以說明:

1.再識別化之密碼、演算法或假名須被保存在分開的系統中，且須有適當之 管制以防止任何人未經授權即接觸再識別化的資訊。

2.無法藉由「公開記錄」或「易於獲得的外部記錄」聯結到足以識別該資訊 之要素。

舉例來說，可藉由移除財務紀錄之帳戶編號、姓名、社會安全碼及其他可識 別資訊之方式達到去識別化的目的。經由去識別化的資訊，趨勢分析團隊可就系

舉例來說，可藉由移除財務紀錄之帳戶編號、姓名、社會安全碼及其他可識 別資訊之方式達到去識別化的目的。經由去識別化的資訊，趨勢分析團隊可就系

在文檔中 論客戶資訊之保護--- 以個人資料保護法與營業秘密法為核心 - 政大學術集成 (頁 113-132)