2012年12月31日 星期一

遮罩個資部份訊息,合理使用個人資料


遮罩個資部份訊息,合理使用個人資料

保護個資,企業已責無旁貸,如今除了用資料加密、權限控管,讓不相干的人員無法存取個資,但是對於被授權操作系統的人員,以及資訊系統管理者、應用程式開發人員而言,也需加以防範。 

以往個人資料因為各方經手處理的業者,作法不夠審慎,而使得這些資料一不小心就暴露在外,當有心人士蒐集、處理、利用後,又導致我們在日常生活中受到不必要的打擾。例如收到廣告信、促銷產品或服務的簡訊或電話,甚至被詐騙集團欺騙,而使得存款或銀行帳號被盜用,這些事件時有所聞。

也因此,這幾年來,許多企業在一些資料的處理方式上,已經有所限縮。例如,在交易過程中,對於一些能識別個人身分資訊的呈現上,如銀行帳號、電話號碼,開始在紙本帳單或交易明細記錄上,將原本完整的帳號或聯絡資訊加上一些字元來遮蔽,例如電話號碼2562-2880會變成25*2-*8*0,因此有心人士若要從帳單收集這些資料來運用,對於每一筆經過遮蔽處理的個資,他們勢必都要再花一番功夫復原後,才能繼續原本的隱私侵害行為。而這樣的作法,就是資料遮罩(Data Masking)。

從維基百科的定義來看,所謂的資料遮罩是在資料儲存區裡面,將特定資料遮蔽起來的一種處理方式,目的是為了確保敏感資料能夠被看似逼真的資料所取代。

過去,這種方式通常應用在非線上(non-production)環境,例如將實際線上作業環境的資料複製起來,以便作為系統測試或開發之用,而經過資料遮罩後,就可以避免敏感資料暴露在這些作業的過程中,降低資料外洩風險。

然而,即便個資法已經施行,臺灣企業資料遮罩應用的比例仍舊很低。根據iThome個資法大調查結果,只有不到兩成企業表示已經或預計採用,相較之下,大部分公司行號較熟悉的安全防護措施,仍然是資料備份、加密、稽核等作法。

資料遮罩前後的內容格式變化
套用的演算法
原始資料
遮罩後資料
說明
虛構資料
Fictitious Data
2562-2880
2562-****
遮蔽後4個字元
亂數處理
Random Data
Jeffrey Lee
David Chen
將資料亂數排列
日期增減
Date Aging
12/21/2012
5/21/2009
日期提前37個月
數字更改
Numeric Alteration
13856
15856
數字增加2000
語意處理
Semantic
R113405505
F135869531
替換其他可驗證的身分證字號



用資料遮罩降低個資防護責任

過去施行的電腦處理個人資料保護法,適用對象原本只有公務機關、非公務機關的八大行業(徵信、醫院、學校、電信、金融、證券、保險及大眾傳播),以及指定適用的行業。

到了今年開始施行的新版個人資料保護法,則不再局限在電腦處理,並且擴大至所有的機關團體,因此公務機關,以及自然人、法人及其他團體的非公務機關,都在適用範圍內。這項法令推動的主要的目的,在第一條即揭櫫了要旨:「為了規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定此法。」

面對個資法的實施,許多機關及企業紛紛開始執行個資的清查盤點與風險評鑑的工作,並且參考個資法施行細則第十二條下所列出的十一項安全維護措施,來徹底檢視與補強自身的個資安控能力。

然而,一般企業對於個資的處理上,過去並沒有考慮到法規需求,因此為了滿足客戶的需求,以及自身的作業便利等考量,本身對於個資揭露與保管多半不加以嚴格設限,缺乏精細的存取管控,因此經手相關業務流程的內部人員,以及能接觸這些資料的IT人員,一不小心都有可能成為外洩資料的根源。

為此,企業必須更徹底地落實個資防護相關的權責畫分,並且對於使用者存取資料的行為需要做好稽核記錄,同時搭配加密的機制,讓自身對於個資管控能力提升至不會受到個資法處罰的地步(個資法第二十九條規定,非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限)。

在企業裡面,首先要把目前所持有的個資找出來,而其中可能具有個資內容的資料儲存形式,包括電子化的資料,如檔案、資料庫,以及紙本型態的書面資料。不過,在這些資料的內容中,我們必須要了解到並非全部內容都必須做到保護——只需要針對涉及隱私的資料,而不需要針對可公開的資料。而這也是個資盤點後,接下來的風險評鑑所要去區分的。

而哪些資料是屬於企業所要保護的個資範圍?個資法第二條定義如下:「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務狀況、社會活動及其他得以直接或間接方式識別該個人之資料」。

那麼,個資法這些規定與資料遮罩的關係是什麼呢?安資捷公司的資安技術顧問陳勇君表示,個資如果不露白,相關的訴訟就不會產生。

他列出了下列公式來說明:
犯罪事實 × 損害因果 = 侵害當事人權益
損害因果 =原告的識別類個資 × 被告的行為類個資

其中,犯罪事實是指不當揭露個資,而侵害當事人權益則意味著訴訟成立,識別類個資主要是個資法所定義的用戶個資,而行為類個資是指企業對於這筆交易行為所配置的序號。而資料遮罩的目的,就是讓原告識別類個資的因素不成立,侵害當事人權益也隨之不成立。

之所以應用資料遮罩,另一個主要目的,是讓企業能夠防範平時接觸這些資料的系統管理者或特權使用者,使其只能存取到有限的資料內容。或許你覺得,這種說法有點將上述的人員當成潛在的資料外洩者,但陳勇君認為,資料遮罩反而是讓接觸這些資料的IT人員或特權使用者,能夠藉此除罪、降責,他說,機敏看到越少,保護責任也越小,就像金庫的鑰匙,很多人並不想保管,因為責任重大,這些IT人員或特權使用者若因為職務的關係,被授權可看到沒經過遮罩的資料,這跟保管金庫鑰匙一樣,需負很大的責任,而且一旦發生資料外洩事件,這些當事人也脫不了干係,必須花很大力氣證明自己清白。



個資法對於個資去識別化的要求

在新版個資法中,對於個資去識別化的應用也有相關的描述。

首先是告知的部份。在第九條中提到,公務機關或非公務機關依規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及五種相關事項,但有五種情形是不需要告知,其中第四種情況就是和個資去識別化有關。

「基於公共利益為統計或學術研究之目的而有必要,且該資料需經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。」

其次是公務機關和非公務機關對於個資的蒐集、處理的目的,以及利用,也有相關的規定。例如個資法第十六條、第十九條、第二十條,都有和上述很類似的要求。

此外,在個資法的施行細則的第十七條,則對上述法條的「無從識別特定當事人」的作法,提出進一步說明。「個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人」。

而這裡所謂的「無從識別」,可以透過資料遮罩技術來做到去識別(De-Identification),目前相關產品能達到的效果有很多種。例如:將真實姓名取代成其他字元,像是李宗翰會變成*****,達到匿名效果;或者我們常在某些案例宣導時,看到將當事人姓名中的一個字替換成符號,像是李宗翰會變成李○翰;有時,是將資料原本內容的順序加以重新排列,像是將身分證字號E156565028改為E155028656。整體來說,資料遮罩技術裡面,可供套用的方法相當多。

資料遮罩與現行其他資料防護技術的差異 
目前,資料遮罩技術主要是針對結構化的資料型態,尤其是資料庫,但這種作法相較於現有的各種資料庫安全防護措施,例如稽核、身分存取控管、弱點評估、監控、加密,有什麼不同?

資料遮罩 vs. 資料庫稽核
一般的資安稽核技術,主要用於精確記錄資料流動與改變的過程。例如當有人存取或變更資料時,稽核技術會保留並記錄相關狀況,以便提供事件發生的證據。相較之下,單靠資料遮罩,並無法掌握資料的動向或存取的資訊,但這種作法的長處在於,去除或遮蔽原本資料所含的敏感內容。

資料遮罩 vs. 存取控管
存取控管的主要目的,是確保只有被授權的人,才能檢視或變更敏感資料。這種機制固然可保護線上環境中的敏感資料,但要在非線上環境中徹底落實,可能性不大。原因在於,應用程式開發者與測試人員往往對資料需要具備完整的存取權限。相較之下,資料庫中的資料若能經過遮罩後,再呈現出來,不論是一般使用者或特權使用者,當他們在存取資料時,因為所看到的內容都是經過遮蔽,即便擅自外洩,也必須要花很大功夫還原,而這也是為何資料遮罩能扮演重要角色的原因。

資料遮罩 vs. 資料庫加密
這兩種作法之間有一些相似處,都可以基於加密金鑰,來保護私密資料,但用途、技術與部署策略上仍有不同。例如在加密應用中,使用者拿到金鑰、輸入密碼後,可以解除加密,而在資料遮罩中,一般使用者並不能解除被遮罩的效果。

此外,加密技術的施行重點,在於防護資料免於受到來自外在環境的攻擊與資料外洩行為。而資料遮罩的應用目的,則主要針對防護內部使用者的濫用,範圍能涵蓋到特權使用者,同時,不需要管理加密金鑰,因為能否將遮罩資料反轉回原來形式,並非這種作法所要訴求的。


鼎新個資防護模組開發經驗談


鼎新電腦集團研發總裁室品質總監楊耀傑

要達到個資去識別化的效果,除了應用具有相關功能的產品,投入人力、自行修改程式當然也是一種解法,不過考量到開發完成的時間、所需成本,很多企業可能會望之卻步。那麼,專門開發套裝商用軟體的廠商如何因應?

事實上,現在已有一些軟體公司提出解法。例如,鼎新電腦近期即針對旗下多款套裝商用軟體,推出了個人資料保護模組,其中包含資料遮罩功能。

開發過程中會遭遇到哪些問題?鼎新電腦集團研發總裁室品質總監楊耀傑表示,以遮罩技術來說,他們的產品採用了MVC(Model-View-Controller)的開發模式,從Controller的部分改掉就好,然而,最大困難在於有哪些資料欄位需要遮蔽,以及該怎麼遮。

同時,他們還需要考量:這樣的功能在使用上,不能對鼎新原有套裝產品的運作,產生太大衝擊,必須將影響降至最低,使用戶能夠順利更新版本。最後,是讓個資防護的施行,在不同產品之間必須一致,該公司開發人員也花不少時間討論相關的規則與邏輯,讓遮罩的機制能有統一的作法。

而最後鼎新針對個資法需求所開發出來的功能,成為產品的選購模組,包括:在前端使用介面提供機敏資料防護(個資欄位遮蔽),並且增加相關的保護機制,例如資料加密傳輸與系統操作日誌保留機制。

若企業欲自行修改應用程式,或開發具備遮罩功能的應用程式,楊耀傑提出以下建議:

1.資訊部門需與企業系統使用者、法務部門充份溝通,識別需要進行遮罩防護的資料,以避免重蹈日前新聞案例:因遮罩過多資料,導致無法執行業務行為(例如判決書、獎狀)。

2.針對欲遮罩的資料進行分類、規畫合適的遮罩方式,並實作成服務元件,供系統執行遮罩時呼叫。此作法可以提高遮罩一致性,同時避免重工。

3.遮罩僅為資安防護之一環,資訊部門尚需考量系統各面向的資安風險,如儲存、傳輸、備援……等。

轉載自《iThome》