強化紙本個資防護,管控內部列印行為
過去企業個資防護偏重於電腦方面,對於紙本個資文件管控較不重視,而輸出設備的管控也容易被忽略,然而這些動作都可能讓個資文件到處流竄。
過去的電腦處理個人資料保護法(簡稱個資法),僅規範電腦處理的個人資料,且僅適用於公務機關與特定行業。如今,新版個資法在去年底已經正式上路,最大的改變是,不僅去除「電腦處理」和「行業別限制」,同時擴大對於個人資料的保護,任何經由電腦處理的個人資料,以及紙本處理的個人資料,都將受到規範。
由於企業面對電腦處理個資防護的法規要求,已經有很多經驗,但紙本形式的個資管控問題,比起數位形式的個資管控要難,而且,輸出設備的管控常是企業容易忽略的問題,不論是列印、影印、傳真、掃描的業務流程,都需要再次重新檢視,畢竟,違反個資法就有可能遭到重罰。
利用電子化流程,改善紙本文件管控壓力
為了減少列印文件的管控,電子化作業是很好的選擇。不過,無紙化的議題已經提倡多年,但並未讓大家因此不用印表機和影印機。隨著近年多媒體平板裝置的潮流與觸控技術的普及,已經有一些企業單位,都用iPad開會,而會議資料都在網路上可控制的環境中,以減少紙本資料印出不易管控的問題,同時減少紙張的用量。
另一方面,業務流程電子化,也是現在企業所關心的一環。舉例來說,過去民眾去電信業辦理業務時,需要填寫一些紙本文件,這些文件正本最後會從門市匯集到總公司,然後經拆箱、點件、確認內容、稽核後,存倉保管。
現在,有些企業已經開始把這些業務流程改成電子化作業,你可以在門市櫃臺從螢幕上看到原來印出來的申請文件,簽名時只要簽在螢幕上,這份簽署的電子文件將視為正本,以取代傳統紙本文件的業務流程,同時也降低紙本文件的管控壓力並減少紙張的浪費。
在保險業方面,現在也有業者提供電子化的業務流程,只要讓業務人員帶著iPad到客戶家中,透過線上即時核保的動作,不僅加快業務流程,同時以往業務攜帶保險建議書、要保書等一堆紙本文件的方式,也被取代。
但個資法的要求會促使無紙化應用加速嗎?那也未必,由於新版個資法特別強調要蒐集、處理和利用個人資料前,一定要取得當事人書面同意,相對的,在非電子商務流程中,有些企業可能會印出更多文件,以徵求個資蒐集、處理和利用的同意權。除非企業將所有流程電子商務化,個資搜集、處理才可依電子簽章法之規定,以電子文件方式給當事人書面同意。
從近年的企業流程與工作習慣來看,多採紙本與電子並行的做法,要做到無紙化仍有一定的難度,但可以降低紙本個資管控的問題。
更特別的是,其實也有企業為了留下證據並防止被竄改,因此,將所有資料以連續紙張全部印出,再透過專人負責嚴加保管,這是相當異於電子化應用的方式。
違反個資法,企業相關人員最高處5年以下有期徒刑
隨著新版個資法將範圍擴及至紙本,如果企業還是用舊思維而未強化個資防護,一但企業發生外洩個資,導致當事人遭受損害時,在無法估算損害金額時,每人每件可求償500~20,000元,相同原因造成的事件總求償金額最高2億元。企業若意圖營利,相關人員可處5年以下有期徒刑、拘役或併科1百萬元罰金。
要做好紙本個資文件的管控,可以從文件印出前就開始規畫,同時針對印中、印後加強防護與追蹤管控,而文件流程也需要從管理面著手,同時加強企業員工個資風險意識,建立個資文件處理上的標準作業流程。在管理面與技術面搭配的情況下,降低紙本個資外洩的風險,並證明企業盡到應有的責任。
紙本文件輸出缺乏有效管控
由於過去的法規並沒有針對紙本個資文件來管控,因此,企業在業務流程上,普遍未重視紙本的防護。在新版個資法擴及紙本文件管控後,這些個資不設防的業務流程,都應立即做調整。
現在,企業在業務流程上必須花更多心力,改變以往可能帶來個資風險的做法。舉例來說,過去我們列印時,公司這類設備都是開放使用的,且設備置放於公共環境,一旦有個資內容的文件印出後被他人誤取,或是無人領取,就是紙本個資在列印時造成的風險缺口。
另外,傳真也是紙本個資防護不能忽略的管道,像是傳真文件印出被人拿取,下班時間後輸出的傳真文件沒人控管,也會造成同樣的問題。
在各領域的業務流程中,像是旅遊業的傳真刷卡業務,保險業業務人員接收客戶資料或是旅行平安保險時,或是遊戲業的客戶人員為了證明玩家身分,往往都以傳真接收用戶傳來的身分證件,這些都是與個資文件相關的工作。如果企業仍像過去一樣不設防,一旦發生個資文件外洩的問題,面對違反個資法後的重罰,甚至將會嚴重影響到公司未來的營運。
對於這些問題,雖然過去企業會要求員工,列印後該馬上至印表機前領取,或是傳真時,應先聯繫對方是否在傳真機前,但從過去使用經驗來看,人為疏忽仍是常見的現象,由於當時法規並未涵蓋紙本文件,加上一些企業以往是由非IT部門管控影印機、事務機的使用,而且,多數企業對於列印設備的要求重點都是放在成本管控上,造成長久以來,只有重視機密文件防護的產業與單位,會加強這方面的管控。
傳真、列印控管不設防,個資文件處理過程可能產生大漏洞
由於過去企業疏於紙本文件的防護,雖然使用者都應該知道列印後應立即領取,或是接收傳真時應守在傳真機前,但往往因為人為疏忽的緣故,造成列印、傳真文件擱置在設備上的狀況時常發生,若是沒有強制的手段去管控,這樣的問題很難獲得改善。 |
從紙本個資盤點著手,拆解紙本個資的流向與風險
勤業眾信企業風險管理協理舒世明協理表示,以目前來看,在個資法正式實行後,已經有些企業已經因應法規而做出不少變動,但多數僅注重個資蒐集的合法性,像是請客戶簽署大量的資料蒐集、處理及利用的同意書,然而,對於內部處理流程如何符合法規要求還來不及面對。
要做好個資防護,個資盤點是相當重要的一步,同樣的紙本個資防護上的個資盤點也相當重要。企業在制定規範時,可以從業務面拆解個資流程,追蹤紙本個資的流向,並了解紙本個資文件的風險缺口。進而針對個資文件流程進行探討,像是了解紙本個資文件的來源、使用時機?誰可以接觸這份文件?以什麼方式傳遞?文件記載的個資數量與類別有多少?評估可能造成的風險有多大?
許多企業雖然已經執行盤點個資的動作,但個資盤點落實相當重要,才能建立完整的紙本文件的個資清冊。當然,企業在個資盤點工作上的流程拆解越細緻,所有紙本個資文件的流向就清楚,控管規畫上也可以變得更容易一些。
實作上,在紙本個資流程盤點與規畫時,可以先以流程圖畫出紙本文件業務流程,再來界定詳細的規範。舒世明表示,個資盤點完成後,針對個資文件管控,要記得一個最重要的原則,也就是最少揭露原則,讓有業務需求的員工才可以接觸個資文件,減少管控項目,另外,要盡到認知教育,如果企業沒有教育、宣告,這將是失責。
此外,企業在做防護個資時,管理面的規範制定很重要。透過事先規畫,釐清要面對那些問題,這些問題可能對企業帶來什麼風險,再從風險管理角度來看,那些高風險要優先處理。
從紙本生命週期角度來看,檢視個資文件的產生、處理到保存與銷毀
針對紙本個資文件的管控,從紙本文件生命周期的角度來理解會比較容易。了解那些業務流程會產生紙本的個資文件,從文件的產生、利用到銷毀,都要制定好標準的作業流程規範,才能讓員工能夠循規做好個資文件的防護工作。
從個資文件的產生、傳遞、利用,一直到最後的銷毀與保存,都應制定好各人員的授權與責任,同時建置好機密文件的分類、分級制度,並檢視現有作業流程,讓企業員工能夠依照標準作業程序執行。而員工的個資防護教育訓練上,也是持續不斷要做的事,讓企業員工不論是在業務流程中,或是工作習慣上,都應該有良好的個資防護觀念。
勤業眾信企業風險管理協理陳志明表示,企業在個資防護上,通常會建議企業先評估業務流程,接著從管理面下手,再來導入防護設備或系統。
而且,建議企業一開始就要釐清列印的目的、使用的場所?在政策面也要先釐清一件事,就是誰有什麼權限做什麼事,適當的授權與分權相當重要。
更要提醒企業的是,個資法採用的是「舉證責任倒置」原理,因此,根據個資法第29條的規定,當企業被當事人提起個資訴訟時,企業必須要能夠證明本身沒有故意或過失責任,否則,就要負起賠償的責任。
針對紙本個資文件的防護上,在管理面是否能夠建立標準作業程序,設備面的安全防護功能是否妥善被利用,都是企業需要留意的。
列印、影印、掃描、傳真行為都應該要被管控
過去企業多以控制列印成本作為首要考量,而管控功能並不夠重視,因應個資法,列印、影印、掃描、傳真行為的管控功能就顯得格外重要,一些低階的輸出設備上,管控功能並不足夠,能否滿足企業內部的個資防護需求,是管理人員需要再三檢視的部分。其中,設備上最基本的使用者登入驗證機制,是後續管控進行的關鍵。 |
列印、影印、掃描、傳真使用行為的防護機制
●列印前
1.建立身分驗證機制
2.設定功能權限管控
3.設備安全性(如硬碟加密、複寫)
●列印中
1.浮水印警示效果
2.走至設備前驗證後始可列印
3.限制只能傳送至非通訊錄號碼
4.掃描文件設定開啟密碼
5.未授權文件無法被影印
●列印後
1.影像、列印、傳真、掃描影像備份,作為稽核、證據保存之用
2.影像備存搭配OCR與關鍵字通知,可主動警示機敏資料印出,或是搭配個資盤點清查工具
從列印行為開始,做好內部個資文件產出的管控
除了檢視個資文件生命週期,從管理面來規畫,如何妥善利用設備上的功能來輔助列印管控也很重要。現在的複合機上,其實早已提供諸多功能協助管控,包括身分驗證、權限控管、機密列印與紀錄備存等功能,只要能妥善利用,便能強化列印設備與紙本文件的個資防護能力,減少紙本文件可能帶來的個資風險。
就像存取企業網路時,都會強制使用者電腦登入網域才能存取,列印設備也應該有同樣的機制,才能做好紙本文件的管控。針對不同業務流程的員工,設定對應的設備功能權限,以加強設備使用上的管控;為了避免人為疏忽,至設備前輸入密碼始可列印的機密列印功能也很實用;傳真進來的文件,以及傳送、掃描出去的檔案,也應該有配套方式加以管控,減少個資文件不受保護的情況。
此外,由於複合機設備通常都是由多人所共用,與個資文件、機密文件相關的高風險業務流程,也可獨立使用專屬設備,或申請不同的傳真專線,讓輸出文件與設備處於可管控的區域內。
企業更關心的是,因為個資法可能與企業既有流程運作之間有衝突的,如果管控太嚴,可能會妨害到企業的營運效率與競爭力。因此,如何在做好個資防護的前提下,並維持業務流程上的順暢性,是企業持續該思考的問題。
綜合來看,企業過去在文件輸出方面,為了改善列印成本,可能疏忽於列印管控方面,現在,企業需要重新回頭檢視列印管控的問題。
其實目前已有不少企業已經加強列印與紙本的安全管控,大型企業與跨國企業在這方面的腳步,普遍比較快。在這樣的時機點下,不論你的企業規模有多小,都勢必要加強檢視業務流程與紙本個資防護的問題,做出更符合要求的應對措施。
像是有些企業全面導入管控功能較齊全的複合機,就是一種作法,將列印功能與AD整合,所有列印、影印行為都要經過帳號登入、密碼驗證才能使用,掃描文件時也可加入密碼保護,甚至進一步限定開啟者能否擁有列印、複製內文之權限。而且,所有列印設備的使用都會有影像副本留存在複合機的硬碟中,再傳送至後端的檔案伺服器,留下使用紀錄與證據。當然,若每份資料都要備存,資料量將會相當龐大,配合及時的搜尋、警示機制,也可以做到主動的個資列印防禦。同時,也降低管理人員設備管控的複雜度。
而在低階的印表機、複合機上,由於管控功能較為不足,可能要搭配其他管控方式,讓文件輸出不會有個資外洩疑慮。像是透過列印管理軟體,搭配DLP與DRM機制,或是設立列印管制區,由專人負責管理,來做到列印等行為的管控,因此也是付出其他管控成本。
紙本個資防護與列印等行為管控上的施行要點
在個資法施行細則第12條第2項中,其實也明定了11項安全維護措施,針對紙本個資文件防護與列印設備管控方面,有4點特別需要注意:
● 資料安全管理以及人員管理
● 認知宣導與教育訓練
● 設備安全管理
● 使用紀錄、軌跡資料及證據保存
其中,在資料安全管理以及人員管理上,企業應建立標準作業程序,並將資料分級,依據不同職位的員工設定存取權限,像是從系統與設備端來管控列印、傳送等行為,在個資文件處理的業務流程,也能有標準做法讓員工依循。
在認知宣導與教育訓練方面,企業要加強員工的個資防護意識,對於紙本個資文件要能夠謹慎處理,並要企業上下都了解個資外洩的後果,相關員工與企業老闆將會受到重罰。
在設備安全管理方面,不僅針對各式各樣設備的使用行為,設備中的硬碟也需要透過磁碟加密與複寫機制來防護。因為所有的輸出資料、使用者設定都會被永久或暫時地儲存在設備中,透過加密、複寫始可確保即使硬碟有一天被竊取,其中的資料也不容易被讀取出。
另外像是資料安全稽核機制,以及使用紀錄、軌跡資料及證據保存方面,經由各項程序所產生的任何形式記錄,企業皆需妥善保存,以利日後舉證之用,因此,各式Log紀錄都是數位證據的範圍內,而由影印、列印、傳真、掃描行為所衍生出的個資外洩問題,就要靠影像Log來舉證。
由於個資法第30條中也有提到,當事人須在事件發生5年內提出求償,因此影印、列印、傳真、掃描的影像備存機制,最多也需要保存5年之久。
但對於多數企業來說,這種備存機制是否有其必要性,可能有很大的疑惑,實際上從法規角度來看,在日後舉證上,其證據效力,比起只有檔案名稱,使用者名稱與時間的Log資訊有用的多。為了證明企業已經善盡管理之責,降低企業的過失責任,企業就必須有效保存數位證據,以證明本身沒有故意或過失責任。
列印工作若委外,交付企業仍有個資責任
除了企業自己內部列印的管控,有些企業也會將文件列印工作委外處理。但委外並不代表企業不用負責,依據個資法第4條規定,「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。」因此,企業在交付個資文件委外作業時,需要謹慎評估,並針對有關個人資料處理的業務,建立評估的標準,以便篩選出適合的配合廠商。
委外廠商是否獲得資安認證是一個可以參考的因素。對於握有大量個人資料的公務機關與私人企業而言,已經有不少企業會導入個資管理制度,建立相關的管理流程規範,以因應法規的要求。以目前來看,常見的個資管理制度上有3種標準,像是ISO 27001認證、BS10012英國個資保護認證,以及TPIPAS個資標章驗證。
同樣的,委外廠商也藉由取得資安認證,加強管理流程的的防護,像是精誠資訊的資料管理整合服務事業部,便負責列印許多金融業和電信業的帳單,他們為了帳單列印這項服務導入BS10012,加強個資防護管理機制。
當然,企業最好能深入了解委外廠商的實際運作情況,並將所有接觸人員納入個資保護教育訓練範圍,同時簽署保密協定,確保人員能夠持續對個資保護有正確觀念。
除了帳單列印委外,還有文件銷毀委外也是目前企業會採用的服務。同樣的,企業在導入專門的文件銷毀服務時,可以參考針對文件銷毀認證的標準,像是國際上的NAID(National Association for Information Destruction)認證,以了解銷毀流程上的注意事項。
像是現在也有保險業,為了改善過去不用的建議書、要保書銷毀不確實的問題,在通訊處中導入專業銷毀公司的服務,讓員工將不用的紙本文件丟入上鎖的銷毀箱,之後再由銷毀公司收取、運輸、銷毀,全程都不會讓他人有接觸文件的機會。為了做好個資銷毀,企業可以實際跟著銷毀公司的流程走一遍,以了解委外公司的個資防護能力。
轉載自《iThome》
沒有留言:
張貼留言