|
(圖片來源:Pixabay)
近幾十年來,資訊科技的長足發展,其應用遍及世人生活的每個層面,隨著網際網路的普及,各種資訊在彈指間即可便利取得,為資訊爆炸的時代做了最實質的體現。網路世界巨幅改變了我們的食、衣、住、行、育、樂的生活模式,它為我們帶來人類科技文明的昌盛與前所未有的繁榮,我們不可一日或缺。數位世界帶給我們諸多便利與歡樂,但卻往往讓人們疏於注意隨之而來的資訊安全、網路安全和隱私保護的潛藏風險。
尤其值得注意的是,今年因COVID-19疫情,迫使許多人利用雲端或視訊通訊軟體在家工作、上課、進行社交活動,應運而生的各種新興宅經濟亦隨之蓬勃發展,估計全球網路使用人口已超過40億。此一現象給各地的駭客和網路犯罪分子帶來了機會,新的資安漏洞正方興未艾,也給企業和個人帶來了挑戰,因此,資訊安全、網路安全和隱私保護已成為大眾應予正視的課題。
ISO/IEC
JTC 1/SC 27係ISO國際標準化組織「ISO/IEC
JTC 1 資訊技術委員會」下負責制修訂「資訊安全、網路安全及隱私保護(Information security, cybersecurity
and privacy
protection)」相關標準或工具之附屬委員會,在過去三十年中,已經制定了許多標準,幫助世界各國政府、公司企業和大眾保護其資訊資產不受損害。此外,SC
27還制定支援線上交易的安全技術、測試和評估安全技術以及資通信技術等標準。除了2013年修訂公布的ISO/IEC
27001(資訊安全管理系統)和ISO/IEC 27002(資訊安全控制措施)之2份較為大家熟悉的資訊安全標準外,SC
27近期也公布了與隱私權保護相關的資訊安全標準,以下舉2個國際標準分別簡述之:
一、ISO/IEC
27701:2019「安全技術-擴展ISO/IEC
27001和ISO/IEC 27002的隱私資訊管理-要求和指導原則(Security techniques — Extension
to ISO/IEC 27001 and ISO/IEC 27002 for privacy information
management — Requirements and guidelines)」
ISO於2019年8月公布了ISO/IEC
27701,為世界上第一個用以幫助組織管理隱私資訊並滿足相關法規要求的國際標準,根據IBM於2020年發表的全球資料外洩成本研究報告(2020
Cost of a Data Breach
Report),報告內容重點為面談了超過500家曾經在2019到2020年遭遇資料外洩的全球企業。研究報告中指出,平均每次資料外洩事件會對企業造成386萬美金的成本損失,企業從找出資料外洩的根本原因到將外洩問題獲得妥善控制平均需要花費280天,資安問題對經濟活動之影響可見一斑。
由上述報告可知,保護大眾的隱私資訊是一項極為重要的事務,相關法律義務也越來越嚴格,各國政府都在積極導入各種相關法規,例如歐盟於2017年發布各會員國必須遵守的「歐盟一般資料保護規則(the
European Union's General Data Protection Regulation ,
GDPR)」,就是影響歐盟甚至全世界至為深遠的法規,而新公告的ISO/IEC 27701:2019標準將能幫助各組織滿足這些要求。
ISO/IEC
27701:2019為ISO/IEC 27001和ISO/IEC
27002的擴展,為保護個人隱私資訊的作法提供指引,藉由補充額外的管控要求,以建立、實施、維護和持續改善在資訊安全管理系統(Information
security management systems, ISMS)範圍內的隱私資訊管理(Privacy Information
Management, PIM),妥適處理個人可識別身份資訊(personally identifiable information,
PII),以降低隱私資訊所面臨的風險。簡而言之,就是一種用於保護個人資料的管理系統。
ISO/IEC
27701:2019標準主要的內容分為8個節次,以下分述4點簡單說明之:
1. 第1節至第3節,主要是說明適用範圍、引用標準、用語定義,ISO/IEC
27701適用於任何類型的組織。第4節是針對標準的整體性說明,包括隱私資訊管理系統(Privacy Information
Management System, PIMS)的要求如何對應到ISO/IEC
27001的第4至10節管理系統,以及PIMS的增項指引如何對應到ISO/IEC 27002的第5至18節的控制措施。
2. 第5節至第6節
進一步敘述在第4節提到的PIMS對應ISO/IEC 27001管理系統要求和ISO/IEC
27002控制措施實施指引,其內容方面,第5節結合了ISO/IEC 27001管理系統中PDCA(Plan, Do, Check,
Action)的精神;第6節則結合了ISO/IEC 27002的14個控制領域和114個控制措施,並且額外補充強化了32個控制措施。
3. 第7節和第8節
分別從PII控制者和PII處理者的角度,分別針對「蒐集和處理個人資料的條件」、「對PII當事人的責任」、「隱私設計和隱私預設」以及「PII分享、傳輸和揭露」等四個領域,作出相關的要求。
4. 最後,在標準的附錄A~F中,還補充了PII控制者和PII處理者可參考的控制目標和控制措施,以及對應到ISO/IEC 29100(註1)、GDPR、ISO/IEC
27018(註2)和ISO/IEC
29151(註3)的章節編號,並且加上如何應用此標準的說明,對於想要整合多項標準和遵循GDPR的組織而言,該部分是非常清楚的參考資訊。
二、ISO/IEC
29184:2020「資訊技術-線上隱私權聲明和同意(Information
technology — Online privacy notices and consent)」
現今,智慧手機使人與人之間的聯繫比以往更加便捷,隨著大家愈來愈重視養生,具備健康監測功能之可穿戴式設備(例如:智慧手錶、智慧手環等)之市場亦迅速成長。這些設備蒐集並處理相關位置資訊、生物識別資訊以及該等設備之使用頻率和時間等個人資料,例如:手機定位今天從甲地到乙地的路線、從穿戴式設備所傳來之每日運動數據紀錄、行走步數、距離及熱量消耗、運動睡眠數據、自動心率監測等,這對想要客觀瞭解個人運動、睡眠習慣或健康等情況的人非常有用,在此等範圍內之運用都是合法的;但也造就那些利用此等資料銷售產品和提供衍生服務的公司在未經我們知情及同意的情況下,取得有利可圖的機會。
因此,許多人愈來愈擔心透過該等服務被蒐集和使用之個人可識別資訊(PII)之安全性。在許多情況下,就是因為該等服務沒有明確說明如何處理、儲存、維護和管理PII,我們會有種被監視的感覺,甚至有時發現自己的個人資料被出售給第三方。鑑於網路的個人隱私問題值得大家關注與重視,ISO於2020年6月公布之ISO/IEC
29184,有助於解決以上這些問題。
ISO/IEC 29184:2020提供了ISO/IEC 29100中隱私權原則的實施細則,尤其關注ISO/IEC
29100表3所列隱私權原則之第一點「同意及選擇」和第七點「公開、透明及告知」。ISO/IEC
29184除了提供有關蒐集哪種PII以及如何使用PII之更為清晰的資訊外,還將幫助大眾更加瞭解在使用網路連結的服務時所簽署的內容,以及如何撤回他們原先所同意提供之個人資訊。ISO/IEC
29184規定了控制線上隱私權聲明內容和架構的控制措施,以及要求同意蒐集和處理來自當事人的PII之過程。
關於ISO/IEC
29184:2020的內容,除了前言、簡介、適用範圍、引用標準、用語及定義、符號及縮寫外,還包括如下的內容(對應ISO/IEC
29184的節次):
|
第5節 |
一般要求和建議 |
|
5.1 |
總體目標 |
|
5.2 |
聲明 |
|
5.3 |
聲明內容 |
|
5.4 |
同意 |
|
5.5 |
條件變更 |
|
附錄A |
用於在電腦和智慧手機上取得PII當事人同意之使用者介面範例(User interface example for
obtaining the consent of a PII principal on PCs and
smartphones) |
|
A.1 |
一般要求 |
|
A.2 |
用於在電腦和智慧手機上取得初步同意之使用者介面範例(User interface examples for
obtaining initial consent for PCs and smartphones) |
|
附錄B |
同意書或同意紀錄的範例 |
|
B.1 |
同意書的一般資訊和目的 |
|
B.2 |
同意書的內容和格式 |
|
參考資料 |
在國內相關標準方面,經濟部標準檢驗局(以下簡稱本局)目前亦已參考ISO國際標準制定與隱私資訊相關的標準如:CNS
20889(對應ISO/IEC 20889(註4))、CNS 29100(對應ISO/IEC 29100)、CNS
29134(對應ISO/IEC
29134(註5))等,期與國際接軌,對參與設計或實作專案者,包括操作PII之資料處理系統及服務之各利害相關者而言實屬重要之參據。
上述國家標準相關資訊(料)皆置放於本局「國家標準(CNS)網路服務系統」,歡迎各界上網查詢閱覽,至於ISO國際標準相關資訊可參考ISO官網。此外,本局已和ISO簽有授權合約,民眾只需支付權利金,即可合法取得最即時並已制定公布的標準資料,歡迎各界多加利用。如需查詢本局外國標準館藏狀況、價格及購買方式,請至本局「標準資料查詢系統
」查詢或撥打服務專線02-23431980洽詢。
|
註1: |
ISO/IEC 29100「資訊技術-安全技術-隱私權框架(Information
technology — Security techniques — Privacy framework)」 |
|
註2: |
ISO/IEC 27018「資訊技術-安全技術-公用雲PII
處理者保護個人可識別資訊(PII)之作業規範(Information technology — Security
techniques — Code of practice for protection of personally
identifiable information (PII) in public clouds acting as
PII processors)」 |
|
註3: |
ISO/IEC 29151:2017「資訊技術-安全技術-個人可識別資訊保護之作業規範(Information
technology — Security techniques — Code of practice for
personally identifiable information protection)」 |
|
註4: |
ISO/IEC 20889:2018「隱私增強資料去識別化術語與技術分類(Privacy enhancing data de-identification
terminology and classification of techniques)」 |
|
註5: |
ISO/IEC 29134:2017「資訊技術-安全技術-隱私衝擊評鑑之指導綱要(Information
technology — Security techniques — Guidelines for privacy
impact assessment)」 |
參考資料來源:ISO
News (ISO/IEC 27701) 、IBM
2020年資料外洩成本報告、ISO/IEC
27701:2019、BSI文章、ISO
News (ISO/IEC 29184)、ISO/IEC
29184:2020、CNS國家標準
|
小安心
