2012年11月18日 星期日

個資法施行 掀起資料銷毀需求


流程方法與技術相輔相成
個資法施行 掀起資料銷毀需求

在新版個資法還沒確定施行前,多數的企業並沒有正視資料銷毀問題,因此對於不堪使用的儲存媒介以及過期文件,往往也常忽略其風險。但個資新法施行之後,相較於之前「有做就好」的心態,企業必須以更積極的態度來面對資料銷毀的議題。

今年以來,幾起不當的資料外洩事件吸引了人們的目光,這些資料外洩事件並非受到駭客有心的攻擊,而是基於流程或人為疏失引起。例如年初在三重被人拾獲某壽險產業的大批報廢保單,上面載滿了重要的保戶個人資料;某銀行業者因為電腦報廢硬碟沒有做好妥善處理,以至於部分硬碟流入二手市場後,任何人都能輕易取得其內存放的民眾與銀行往來借貸個資與上市上櫃公司明細,遭到金融監督管理委員會處以高額罰鍰。這些事件的起因皆是企業未徹底落實內控機制,忽略資料銷毀的風險所致。

個資新法正式施行之前,類似的新聞事件便時有所聞,像是診所外洩處方箋、病歷回收再利用讓個資全都露、隨意將文件丟棄在垃圾場或停車場等等,足以顯示企業對資料銷毀的觀念以及作法仍未臻完善,甚至輕忽資料銷毀的重要性。但隨著個資新法施行之後,企業無法再忽視這個環節,因為在法規的規範下,企業肩負了確保個人資料的安全性的重責大任,並必須舉證已善盡保管責任。

適法需有存據


凌羣電腦資安技術研發部處長張義明指出,資料銷毀的重點並不在於採用了哪一種流程、技術或方法,但是能不能符合個資新法的要求,則必須看破壞的行為能不能透過工具復原。

凌電腦資安技術研發部處長張義明觀察,在新版個資法還沒確定施行前,的確有不少企業並沒有把資料銷毀當成重要議題,而且企業對於不堪使用的儲存媒介以及過期文件,往往也常忽略其風險。「就以『硬碟無法被讀取』這樣的情境來說,過去不少企業直覺地認為硬碟壞了,便直接集中收集,委由回收業者處理,但其實硬碟內部有很多結構,造成硬碟無法讀取的情況也許僅僅只是控制器毀損,但碟片仍然完整無缺,這時若有不肖業者企圖謀利,送到資料救援中心,碟片內的機密文件檔案將全都被收攏成為銷售謀利的資料。」

類似這樣的風險,已有不少前車之鑑,因此相較於過往「有做就好」的心態,今後企業必須以更積極的態度來面對資料銷毀的議題。尤其新版個資法施行之後,從法的角度來看,企業必須舉證說明無過失或無故意違反法律,無論回應當事人請求或內部針對資料所進行的管控措施都必須存有依據作為事後舉證,以便證明已經盡善良管理的責任,因此,完整實施並紀錄存證的資料銷毀機制與流程也就更為重要。

但是在制定完整的資料銷毀機制與流程之前,首要確立的並不是如何執行,反而是如何區分公司內部的資料,哪些才算是重要資料。特別是在網路、社群媒體、數位匯流等趨勢興起下,企業資料增長相對快速,面對龐大的資料流,企業傾全力也難以做到針對存放在公司內部的所有資料進行全面性的嚴密保護,特別是與業務非相關的資料不在少數,因此必須先釐清什麼型態的資料屬於重要資料,需要受到嚴密的流程管控?哪些又可以排除在外?

若從目前多數企業最關心的個資法適法性角度來看資料銷毀,那麼界定個資就是一項必要的前置措施,張義明指出,大部分的個人資料在判定上並不會有爭議,主要是因為這些資料都不只一項欄位,至少有姓名、電子郵件或是聯絡電話,有些甚至還會保留交易資料,這些加總起來,多半都足以識別該個人資料。若是只有單項,例如只保留電子郵件,則要視個案而定,通常只要這些資料可運用於廣告行銷上,就應該被視為個資妥善處置。

破壞程度有差別 

由於新版個資法僅只規定企業需善盡責任,不限施行的形式、採用哪些程序、IT技術或工具來處理,因此針對「資料銷毀」適法性的關鍵便在於「破壞的行為能不能透過任何技術或工具復原或救回。」簡言而之,就是能不能做到「不復存在」的結果。

張義明指出,資料銷毀的重點並不在於採用了哪一種流程、技術或方法,同樣銷毀一顆硬碟,企業可以格式化、消磁、拿榔頭敲、用電鑽鑽孔、泡水⋯⋯,端看本身內部的規定,但是能不能符合個資新法的要求,則必須看破壞的行為能不能透過工具復原。「舉個例子,如果管理人員對硬碟格式化了三次之後,仍有個數位鑑識工具可以將其把資料救回,那麼這樣的資料銷毀方式,顯然就有待商榷。」

當然,資料銷毀的破壞程度與儲存媒體中存放的資料有絕對相關,倘若企業已經確認重要資料都在伺服器端,那麼針對個人主機上的硬碟或許只要格式化二次,就能直接報廢處理,即使不小心外流或遭竊了,對企業來說也只是財產損失。

「在凌羣的經驗中,現階段企業內部重要設備只要不是以鏡射(Mirror)保護,資料被還原的風險相對是低的,例如資料經RAID 5機制存放之後,會分散在各個不同的硬碟之中,每顆硬碟僅僅存放資料的十幾分之一,幾乎成為碎段的資料,即使不小心外流一顆硬碟,透過復原單顆硬碟要取得完整的資料並不容易。」他提到,現在最令人擔心的反而是使用者個人主機上的資料,因為一般PC或筆電存放的資料相當廣泛,而且很難控管,遇到故障維修時,委外廠商直接抱走維修的機率也很高,「雖然合作廠商多數會表明不會主動查看硬碟或還原資料,但是風險仍然存在。」

制度配合技術 

資料安全防範包含了資料生命周期的各個環節,即使是資料銷毀也必須貫徹到底,確保到最後一步都進行妥善的安全管控,要做到完善的保護責任,除了技術面之外,還需在制度面的配合,換句話說,企業必須規劃出一套資料銷毀的流程,而這涉及的不單只在銷毀的階段,而是要從組織的流程與程序來檢視。


以個人電腦為例,組織程序檢視的第一步是確定員工手中的的電腦是由組織統一配發還是員工自行攜帶,接受員工攜帶個人電腦到辦公室內辦公的缺點,主要是公司資料將存在該名員工的電腦之中,而且管理人員很難有權限介入處理。若企業內部的電腦是統一由組織配發,這時可以透過幾個程序加以處理:

設備故障維護程序

當個人電腦出現故障需要維護時,需要先由組織內的資訊室或電腦中心先進行識別。確認電腦設備需要維護時,在送回原廠維修之前,應先行處理,例如先把硬碟取出,或是將硬碟加密之後,再由維修人員帶走。「資訊中心的責任是確保設備端無資料,縱有資料也無法解開,在故障報修程序這關就應該先行把關。」張義明說。

儲存媒體報廢程序

企業在報廢階段主要有兩項作法,一是考量資源再利用,將設備整理完再以福利價銷售給員工或轉售,這時儲存媒體需格式化後,再重新安裝作業程式,以降低資料復原的機率。而另一種作法則是直接進入銷毀階段,從盤點資產、以物理或化學方式銷毀到最後回收處理,企業都可以設計標準程序來執行。

「當然企業在執行銷毀程序時,一定要留下足夠的證據,以便有爭議時能夠舉證,所以在訂定管理與執行程序時都必須要能留下記錄。我們會建議企業在銷毀的過程中,最好有一個稽核人員在旁。」他提到,不管在稽核的過程中,企業想要留下哪些證據或資料,企業都可以自行設計,例如全程拍照或攝影等等,但重點在於檢核表的確認,例如日期、銷毀哪些儲存媒體或文件等等,最後由執行人員與稽核人員雙雙確認,再將檢核表當為附件,如此一來,在遇到特定事件時,才能提出舉證。

現行推動的難處

一如前文提到,現行的個資新法在法規中並沒有提及資料銷毀要做哪些事情,也沒有硬性規定明確的項目,但是從法律面來看,企業若沒有做好資料銷毀,的確存有資料外洩風險,而且風險程度不低。因此確保企業制定的銷毀程序能夠確實地將資料銷毀完畢是企業必須面對的重要課題。

然而,根據張義明的觀察,目前企業在資料銷毀普遍遇到的難題並不是執行的過程,而是執行單位如何找到稽核人員。「對於熟悉內稽、外稽的金控單位來說,尋找配合的稽核人員較為容易,比較不受困擾,但是在一般企業中,稽核人員多半並沒有被要求到這項業務,有沒有人來擔任、由誰來擔任也就成為企業推動的難題。」

另一項潛在的問題在於證據保全的年限。個資法規定,蒙受個資外洩損害的當事人若要進一步向企業求償,必須在損害發生後的五年內提出,或者當事人在得知發生損害與求償對象後兩年內提出請求損害賠償。因此,資料銷毀相關舉證記錄理論上也需要保留到五年,但五年期間人事變化不小,而且也與成本息息相關,企業應在這方面事先做好規劃與準備。

降低企業負擔

不同的儲存媒體需要透過不同的方式來達到資料銷毀的目的。而除了企業自行透過制度流程配合相關技術,在可接受的範圍中降低資料外洩風險的作法之外,不少企業也選擇將資料銷毀工作委外,透過業者的協助來達到適法性,同時降低執行資料銷毀作業需要投入執行人力、時間、相關技術設備成本以及可能潛藏的隱性風險。

目前,企業常見的資料銷毀項目包括紙本文件、硬碟以及磁帶等三種常見的載體,不少專業的資料銷毀業者也提供相關服務,有些涵蓋各種機密文件檔案,從紙張文件到磁性儲存媒體全都包含在內,而有些則專精特定項目,例如針對文件或磁性媒體等等,不管業者的營業項目為何,多數都強調協助企業如何在資料銷毀的流程中同時也能符合個資新法的規定。後續文章將分別探討各類銷毀項目在新舊時期的不同作法,同時也將邀請業界專家現身說法,如何透過委外服務來降低企業負擔,同時符合個資需求。

轉載自《網管人;作者:余采霏》

沒有留言:

張貼留言