「資訊安全」不等於「個資安全」
從事個人資料保護工作一段時間了,最常被詢問的是ISO 27001做好,不就等於把個資保護好了嗎? 其實差異還蠻大的!!不論是在法源依據、認證組織與施行方式等全都不同,更重要的是法遵的問題。
先說明一下,以現行中華民國的法律而言,假如資訊安全沒有做好,公司也不是「資通安全法」中所定義的機關組織,那最多就是洩漏了營業祕密。公司不會因為洩漏了營業祕密而犯法或是處以行政罰鍰。
但是公司在個資保護不周全,導致個資外洩,不論洩漏的是公司的員工個資或是客戶的個資,那就犯了「個人資料保護法」,每筆最低500元、最高20000元的處罰。就以電商舉例,今天若事實認定為會員的資料庫外洩10,000筆,那最高可以處以新台幣2億元(嚇!!)。
接下來我來分析,為何做好了資訊安全不等於做好個資安全,用更實際的方式做比較。
標的物不同
在資訊安全面向,保護的主要是資訊設備內所擁有的資料,不論採用何種制度,重點都是在於用什麼方式去保護資訊資料。
而個資安全面向,保護的主要是個人資料,只要是可以被直接或間接與「人」相連結的,都可以被稱為個資。個資法第二條有詳細定義「個人資料」:
個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
個資有包含存放於紙本上與資訊系統中,資訊系統中的個資在個資法中定義為「個人資料檔案」:
個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
制度面不同
因此,制度就走上了兩個面向,一般而言資訊安全制度稱為ISMS(Information Security Management System),個人資料保護制度稱為PIMS(Personal Information Management System)。ISMS現在的主力的國際制度為ISO 27001。而PIMS因為有各國不同的法律規定,所以有很多不同的制度,還沒有統一且單一獨強的國際制度與標章,就以有法遵性來說,台灣現在有符合個人資料保護法的法遵制度只有經濟部主導的TPIPAS與APEC成員國內通行的CBPR這兩種制度。 兩者的關係如圖:
兩者之間是有相互重疊的部份,這也是大家常常會誤會做好資訊安全就等於做好個資安全的一個誤區。
盤點物不同
開始導入ISMS或PIMS制度後,延伸標的物不同,就在盤點資產項目中顯現出差異。ISMS盤點的是資訊資產,PIMS盤點的是個資資產的生命週期(蒐集、處理、利用、銷毀)。
結論
兩種不同的制度,不能拿來互相比擬,做好資訊保護最多只在資訊類的個人資料有保護好,但是實際會洩漏的個資是很多的,在實體上的紙本沒有好好保存,一樣是會產生個資風險。
有很多台灣的公司標榜通過ISO27001就表示已做好個資保護,這實際上是一個認知誤區。歐盟在2016年制定了GDPR(General Data Protection Regulation)著眼於保護個人資料,並沒有制法規定資安,由此可知著眼在於你我的個資保護,而不是資安。若是以個資保護的觀點出發,簡單來說:
"資安是一種手段,個資保護才是目的"
後紀
本文中提到各種制度、標章、國際標準,未來再用幾篇文章來說明其差異。
喜欢我的作品吗?别忘了给予支持与赞赏,让我知道在创作的路上有你陪伴,一起延续这份热忱!
- 来自作者