ISACA Journal
Volume 1, 2,015 

Translated Articles 

隱私查核—方法論和相關注意事項 Privacy Audit - Methodology and Related Considerations 

作者: Muzamil Riffat, CISA, CRISC, CISSP, PMP 

執行隱私查核時,審計人員應考慮關鍵風險和控制點。下列的方法大量借鑒在ISO31000:2009 風險管理-原則和指引中提出的概念。

為什麼要進行隱私查核?

在研究隱私查核方法的細節前,思考為什麼要進行隱私查核是以及判斷機密與隱私之間的區別非常重要的。

隱私查核的目標是評估一個機構,對於隱私保護的狀態是否符合法律/法規要求或國際最佳實踐,並查核是否有符合組織自己所訂定之隱私相關政策。所評估的範圍包含組織中資訊生命週期的各個不同階段:資訊是如何產生、接收、發佈、使用、維護和銷毀。隨著資訊和資料量的巨幅增加,隱私查核點出了資訊濫用的相關潛在風險並提出可以減少企業聲譽損害的建議措施。

機密和隱私之間的差異

雖然機密和隱私經常交替使用,但這兩個字有著不盡相同的含義。在本文中,機密定義為資訊分享前未經所有者明確的同意。在另一方面,隱私是侵入個人私領域的自由。例如,外部顧問在執行專案時可能獲得組織內的個人資料(如人力資源資料、顧客資料庫),但他們不應該與任何的三方組織 分享這些資訊已達成客戶保護機密的期望。在個人層面,隱私權被聯合國「世界人權宣言(第12 條)」所規範:“任何人的私生活都不應受到任意干涉...... ”和“人人都有權受到法律的保護避免受到干涉或攻擊。”1 在當今世界,企業行為或多或少都帶有 “法人”的概念,也就是說他們可以擁有自己的資產、知識產權及履行契約關係1。因此,隱私的概念可以很容易延伸應用到企業。

隱私查核方法

進行隱私查核的高階步驟和方法,示於圖1 中。

每個步驟需考慮的相關因素如下:

  • 建立環境—在有任何有關的隱私議題討論中,一個關鍵挑戰是隱私一個非常主觀的判斷。每當我 們試著界定隱私時常會碰到很多模糊的灰色地帶,是沒有共識的。這可能是因為不同國家、文化或組織造成這樣的差異。例如,大多數的組織在電腦的登錄畫面都會告知在電腦上的操作都會被記錄,而組織也透過一些技術達成這個目的。然而,組織可以如何使用這些資料是值得商榷的。某些人認為這些監測資料(如:關鍵字、瀏覽過的網站及購買的產品)是利用工作時間、利用組織的資源(如:電腦或網路)時所產生並沒有侵犯隱私權,即便組織將這些資料出售給外部使用。但有人視這樣的行為是侵犯個人隱私的。最重要的問題誰是資料的擁有者(是蒐集資料的公司還是產生這些資料的使用者)是需要被考量的。身為稽核員的當務之急是,確保隱私查核的內容及結果對所有利害關係人都具有一致性。
  • 辨別隱私風險—下一步通常是透過風險識別工具、技術和方法來識別的隱私有關的風險。雖然列出所有可能的隱私風險項目將超出了本文的範圍,也不切實,但下面所列出的風險項目應被包含在此步驟中:
    • 經營模式 -越來越多地企業考慮使用電腦託管的解決方案(雲端運算2)。如果沒有一個合理的研究,託管解決方案將被認為是一個負面的方法。但審計人員應客觀地審查相關的風險,並做風險評級,牢記這種託管解決方案的概念既不新穎也不是抽象的。除此之外,對於隱私議題雲端運算本身並不是壞消息。認為將資料儲存在組織中比起外部更安全,這種考量根本毫無根據。事實上,資料的安全性依賴組織的資安措施,而不是在存放位置—無論是內部或雲端。
    • 社群媒體—社群媒體提供了一個很好的方式,讓企業與客戶和利害關係人進行及時溝通。然而,很多的資訊可能發布自許多私人帳戶,當這些資料集中在一起時將可能成為一敏感資訊。公司可能會發布一些看似無害的資訊,但結合或與其他相關來源時,所公開的資訊可能將涉及隱私。
    • 行動裝置—因智慧型的行動裝置數量呈現爆炸性的成長,一些自攜式設備(BYOD)將帶來資訊安全的問題。和隱私相關的面向,以下幾點值得再考慮:
      • 位置資訊—導航系統中的三角定位系統造成了隱私外洩的隱憂。行動裝置中定位的資訊被視為敏感資訊。3 這些資料可用於(不希望發生)依據消費者的所在地或行動給予不同的商業行銷。一些準則正在制定用以規範位置的資訊隱私。4
      • 硬體序號—一些應用程式能夠讀取硬體序號已進行行銷或達成其他目的。這些追蹤可能並沒有被設備的擁有者所允許。
      • 個人的應用程式或遊戲—一些應用程序能夠未經授權的存取手機的資訊,並不是在安裝時所被預期的。
    • 巨量資料—資料蒐集和分析的技術日新月異,在技術進步的同時,隱私的侵害是成反比的。先進的工具可以比對不同來源的資料,辨認為個人或隱私的資料。但用以分析和提供業務優勢的資料倉儲還是可能會造成隱私資料的外洩。
    • 與其他法律的衝突—資料隱私要求有時會與其他法律衝突,例如:資料保留法律(data retention laws)。
  • 分析隱私風險—風險分析主要有兩個步驟:
    1. 固有的風險評估。
    2. 評估實施的控制

    固有風險評估可以使用影響/結果發生的機率對應到固有風險評估表(見 圖2)。


    應對實施控制進行有效性和效率的評估,以評估風險緩釋的程度。以下為一個組織希望實現或導入隱私控制的例子,但不限於此:
    • 隱私政策—一個組織的政策應文件化,並讓所有員工和利害關係人清楚知道。除了考慮採取任何必要的監管,該政策應揭露資訊的收集管理意圖和它的後續使用範圍。
    • 資料庫隱私控制-檔案重複儲存、存放的控管可減輕推理和聚集的攻擊相關的風險。這些攻擊的類型,針對不同來源的隱私資訊(例如,線上選民投票資料、通話記錄、社交網站)。例如,對隱私議題關注者和研究人員揭露了一個存放美國一個州州長病歷的資料庫曾遭到攻擊(reidentification attack5)。如隱私整合查詢技術(Privacy Integrated Queries, PINQ ) 可用來維護底層資料(underlying records)的隱私性。6
    • 加密—包含若干標準,其中包括PCI-DSS安全認證(Payment Card Industry Data Security Standard, PCI DSS),所有的個人識別認證(Personally Identifiable Information, PII)都必須加密存儲,以防止濫用或非法存取這些資訊。
  • 評估隱私風險—剩餘風險的計算方法是根據固有風險和控制評估產生。剩餘風險是風險是執行所有現有的控制後容存在的風險。圖 3 為建議的剩餘風險的計算方法。
  • 管理隱私風險—此步驟主要是由管理階層執行,審計人員所扮演的腳色是確認為降低風險所採取的措施是否足夠。使用剩餘風險評估,風險管理措施將可以被鑑別。這些措施將可加強現有的控制或導入新的控制,以降低隱私相關的風險。有幾種風險管理的方法,如:避免、移轉或降低風險到可接受的水準,但在決定風險處置時需做成本效益的考量。
  • 溝通和協商—定期提供各個階段的報告給管理階層、審計委員會和利害關係人。任何需要注意的地方需要立即提醒管理階層。
  • 監控和評估—隱私風險管理系統應持續監控。規章、內部流程和業務流程可能會改變,然而這可能會影響隱私風險管理的一些做法。適當的監督和評估流程應在整個風險管理的過程當中完成,以確保所有的決定都是依據最適當和最新的資訊。

結論

隱私的概念和對隱私的認識將持續發展。資 料蒐集和利用正在發生,也會持續進行,甚至更普遍,少數人對隱私是比較了解的,但大多數人是沒有這方面的知識。如何提高隱私保護效率、方便性和相關議題將續被人們所討論。規章的頒布或更新組織都須符合遵守。在這個日新月異的時代,審計人員應建立並遵循一個的全面隱私審計方法,以確保他們的組織部會暴露在任何不必要的風險中。

此外,應採取必要的行動,以確保所有隱私相關的風險最小化到可接受的水準。審計人員也應對新科技發展的趨勢及其對隱私權的影響有所警惕。在規劃年度隱私查核計劃時應考慮到各個面向,並應定期提供報告給所有的利害關係人。

References

  • Kernochan Tama, Julia; “Mobile Data Privacy: Snapshot of an Evolving Landscape,” Journal of Internet Law, vol. 16, no. 5, November 2012
  • Enright, Keith P.; Privacy Audit Checklist, http://cyber.law.harvard.edu/ecommerce/privacyaudit.html
  • Determann, Lothar; “Data Privacy in the Cloud: A Dozen Myths and Facts,” The Computer and Internet Lawyer, vol. 28, no. 11, November 2011
  • Ohm, Paul; “Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization,” UCLA Law Review,vol. 57, 13 August 2009, p. 1701

Endnotes

1 United Nations, Universal Declaration of Human Rights (Article 12), www.un.org/en/documents/udhr/index.shtml#a12
2 National Institute of Standards and Technology, “Cloud,”USA, www.nist.gov/itl/cloud/
3 Federal Trade Commission, “Protecting Consumer Privacy in an Era of Rapid Change,” March 2012, supra n. 36, p. 59, www.ftc.gov/os/2012/03/120326privacyreport.pdf
4 CTIA—The Wireless Association, “Best Practices and Guidelines for Location Based Services,” 23 March 2010
5 Barth-Jones, Daniel C.; “The ‘Re-identification’ of Governor William Weld’s Medical Information: A Critical Reexamination of Health Data Identification Risks and Privacy Protections, Then and Now,” 18 June 2012, www.futureofprivacy.org/wp-content/uploads/The-Re-identification-of-Governor-Welds-Medical-Information-Daniel-Barth-Jones.pdf
6 Microsoft, “Privacy Integrated Queries,” http://research.microsoft.com/en-us/projects/pinq/

作者: Muzamil Riffat, CISA, CRISC, CISSP, PMPhas more than 10 years of experience in software development, IT audit and security. He has worked for consultancy, private, semi-government and government organizations. He holds several general and vendor-specific professional certifications. Riffat is currently responsible for IT audit function in a large government organization.

譯者:張碩毅,電腦稽核協會編譯出版委員會主委,國立中正大學會計與資訊科學系 教授兼系主任


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 1, 2014 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄 ISACA Journal 2014,Volume 1中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責

Copyright
© 2014 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2014 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印 ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明 ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.