掌握關鍵要領　不讓個資防護機制鬆動

正確來說，任何企業都需要安排專人專責保護個資，通常都由相關同仁組成個資保護小組、或是治理委員會。DIGITIMES攝

引進優質的產品或技術，打造完備的防護體系，充其量只是因應個資法合規需求的其一步驟，而非全部；也就是說，如果企業已經砸下重本，並且盡心盡力建構防禦機制，心想藉由這些系統撐起保護傘，此後就可一帆風順，恆常處於安枕無憂境地，這肯定是所誤解，因為個資防護議題很大，除了架設系統外，還有許多事情要做。

展望未來，在1段可以預見的期間內，想必有不少企業資訊人員都將處於繁忙狀態，為了滿足個資法合規需求，有一些新系統正待安裝、測試與上線，甚或有部分既有資安系統，亦可能需要重新調校，譬如將原本較為寬鬆的設定，調整到更為嚴謹的狀態。

雖然這些任務，執行起來毫不輕鬆，一旦逐項付諸實踐後，資訊人員必然會有如釋重負之感，心想投入了這麼多心血，就可讓公司安然無恙，再也不擔心個人資料外洩；縱然日後百密一疏，仍然發生了少許個資洩漏憾事，但也並無大礙，因為只要拿出數位證據，便可證明公司已盡到資料保護責任，免於遭受重罰的命運。

但許多人往往忽略掉，用以保護個人資料的IT系統與技術，其實可算是最後1道防線，意即為最低限度的保障，若欲發揮最佳的安全維護功效，舉凡企業的組織、流程、人員、教育訓練…等諸多面向，全都需要加以配合，其關鍵程度甚至凌駕於IT之上。

舉例來說，假使某一企業自認已部署了固若金湯的防線，但員工卻毫無個資防護的認知，不僅平時疏於進行軟體更新，且動輒利用上班時間，恣意悠遊於社交或購物等網站，毫不避諱地點擊來路不明的連結，等於每個人都在舉手投足之間，不斷招惹禍害進門；就這樣一而再、再三地摧殘，再好的系統，恐怕都救不了這家企業，怎可能只會出現「少許」個資洩漏憾事？

再者，所謂的數位證據，並非垂手可得，它是需要經過一定的保存與累積過程，而且必須具有絕對正確性與公信力；資訊人員在辛苦布建IT系統之際，可曾針對這些課題深思熟慮？

如果把可被具像化的資安系統或技術，形容為「硬功夫」，那麼接下來的篇幅，便將以「軟實力」為主軸，鋪陳個資防護的若干關鍵要領；唯有軟硬兼施，才是企業賴以安身立命之道。

企業高階主管　必須扮演領頭羊
根據新版個資法第27條，「非公務機關保有個人資料檔案者，應採行適當之『安全措施』，防止個人資料被竊取、竄改、毀損、滅失或洩漏」，由此可見安全措施的重要，因此可以考慮在公司內部，設立個資保護工作小組、或治理委員會等必要組織，並應該清清楚楚地界定個人資料範圍，發布具體的資安政策與管控原則，據此嚴格規範個資蒐集、處理或利用之程序。

除此之外，舉凡當事人行使權利之處理程序、資料稽核規則制定、人員管理及教育訓練，乃至於緊急應變措施及通報，其間所有的SOP與教戰守則，都應當準備就緒；唯有如此，員工才能知所遵循，並深刻體認公司確實是「玩真的」，從而自我約束、自我惕厲，莫要把此事當作兒戲。

然而要想推動這些事項，相關的令旗或權柄，肯定不在IT部門的手上，值此時刻，高階主管能否身先士卒，展現百分之百的高度支持，無疑顯得十分重要。

有了企業高階主管的力挺，不僅可將政令宣導的力量，徹底落實到組織內部的每1位成員，且可透過周而復始的反覆教育訓練，針對全員進行「洗腦」，使得個資防護觀念深植人心，成為理所當然的反射動作。

即使有了工具　還是需要人為管理
要知道，個資防護成效，絕對不是一蹴可幾的，必須反覆歷經P(規畫)、D(執行)、C(稽核)、A(改善)的正向循環，方能一步步趨於良善之境。

如果以為有了資安防禦工具或技術，就可將人為管理的投入，降至微乎其微的低限度，肯定失之偏頗。IT系統雖然有其重要性，但只適合作為輔助人為管理的配套工具，充其量僅是配角，不應本末倒置躍居主角，因為它們沒有自主的靈魂，更無力觸發PCDA流程。

在此情況下，那怕企業部署了多麼高明先進的防禦系統，還是得切切實實地指派專責人力，就近看管這些系統，一方面可針對相關的Log與報表，進行深度分析，二方面則可全盤掌握個資變動狀況，繼而進行完善而細膩的稽核。伴隨人為管理的介入，原本缺乏靈魂的資安防禦系統，就彷彿被注入了豐富的生命力，終至發揮最大功效。

管理人員長期沈浸在這個情境，視野與見識隨之增加，即能深刻體會到，當前的個資防護措施，究竟有哪些值得加強或調整之處，發揮持續改進的力量。

妥善保管Log　並確保不被竄改
持平而論，個資法是1種很弔詭的法令，因為它完全顛覆了多數法律所訴諸的無罪推定原則，企業必須提出舉證，以證明自己盡到良善管理義務，已經傾全力防止個人資料被竊取、竄改、毀損、滅失或洩漏。

正因如此，舉凡IT設備或紙本資料的個資存取控制記錄、日誌(Log)，以往可能被視為無足輕重，但如今都必須被完整保存，以便作為日後提出反證之用。

只不過，此事看似簡單，但其實有不小的執行難度。以存取控制記錄或Log等數位證據而論，其實都存在著複製、刪除或修改的可能，有一定程度的脆弱性，導致可作為呈堂證供的證據力大打折扣，不見得能在必要時刻發揮助力，使企業遠離法律究責陰影。

如何證明自己提出的Log，都確實是獨一無二、完全未遭受任何Log竄改？便需要在Log蒐集的過程中，適時搭配完善的儲存加密或存取控制等技術，藉此證明其舉證之有效性。

若不想這麼麻煩的話，其實還有1個做法，即是在部署IT系統時，就必須考慮該系統是否符合某些國際標準或法規，一旦符合，其Log便與生俱來擁有不可竄改的證據力，繼而成為強而有力的呈堂證供。然而時光不能倒流，有些未必符合這個條件的系統，早已為企業所引進，而且很難被替換，若是如此的話，只好再借助SOC或SIEM的日誌正規化力道，設法讓它鹹魚翻生取得足夠公信力。

別讓你的委外夥伴　成為洩漏個資的兇手
無論是防禦系統與技術，或者一些配套措施，它們可以發揮影響力的幅員範圍，通常僅及企業組織內部的員工，而不會擴及委外廠商。但依據新版個資法規定，委外廠商一旦觸犯個資外洩罪狀，可視同委託機關洩漏個資，除非能提出舉證，證明自己確實盡到管理與監督的義務，否則都必須負起完全責任。

不會吧？委外廠商闖的禍，卻要我來概括承受，那麼該如何是好？這件事可分非IT、IT等兩個層面來談。在非IT部分，比方說，委託機關與委外廠商簽訂契約時，即可將個資保全的相關權利義務，訴諸為白紙黑字，並列入合約條文之中；但畢竟合約不具絕對的強制力，更不是有效的呈堂證供，所以委託機關必須對委外廠商實施監管，甚至不厭其煩提供教育訓練。

至於IT層面，即是透過一些IT工具的輔助，藉此讓委外廠商無法看到個資，既然如此，就無洩漏之虞；然而要使用什麼樣的工具？最簡單而有效的做法，便是採用資料遮罩(Data Masking)方案，讓委託機關可以保持完整的資料邏輯，但能夠針對某些可辨認性較高的個資欄位，進行「遮罩(Mask)」或「混亂(Scrabmle)」，好讓委外廠商取得這份數據時，根據無從掌握任何個人資料，且由於資料邏輯並未遭破壞，所以還是可倒進應用程式做測試，絲毫不受影響。