书城法律个人信息保护:应对法律合规要求,妥善处理个人信息
24774100000002

第2章 特集(1)

如何通过数据丢失防护系统(DLP)应对日益严格的信息保护法规及监管要求?

近年,传媒经常报道有关机构泄漏机密信息和滥用个人信息的情况。例如,在零售商店的会员制度中,客户提供的个人信息被过度收集;另外,有金融机构在没有获得客户同意的情况下,与第三方共享客户个人信息作直接促销用途;以及有医疗机构曾经遗失了载有病人病历记录的U盘,继而导致资料外泄。很显然,被指控的机构因此对自己的声誉造成负面影响,最终可能会因为机构和客户之间缺乏信任而影响了他们的经营业绩。以上个案使得大众的注意力转向机构如何保管机密信息和保存他们的个人信息。他们会质疑机构是否有任何有效和足够的控制,以保护这些信息的安全,从而避免未经授权的访问和使用不当的情况发生。另一方面,机构可能也注意到大众对机构如何保护他们提供给机构的个人信息的关注。为了提供足够的信息保护,机构可能会考虑这样的问题:机构可否确保在有需要的时候提供适当的数据?机构可否控制数据的访问权限?机构可否保护数据,防止机构内部/外部的信息被盗窃?机构可否遵从相应的法律要求(如《隐私法》)来保护客户数据?机构是否正确保护信息管理的基础设施?机构可否采用新兴技术(如云计算和移动计算)?

一、信息保护的法规/监管要求

在信息保护的重要性在全球上升的同时,来自不同国家的政府及监管机构已推出了各自的信息保护条例,并已在自己的国家中实施。在亚太区中,一些国家和地区如新加坡、菲律宾、韩国、印度尼西亚、泰国和日本等近年都制定了自己的信息保护原则,并已在几个主要范围上作出限制和指引。包括获取信息的应用、信息采集及处理、信息的传输以及违例通知,等等。

(一) 香港的《个人资料(私隐)条例》(PDPO)早在1996年12月香港就已经通过并实施了一套名为《个人资料(私隐)条例》的法例,用以确保每个人的个人信息得到保护。《个人资料(私隐)条例》是香港首套信息保护和管理的法定条例。它主要可以概括为以下6个信息保障的原则:

(1) 个人资料的收集必须与资料使用者的职能和活动有关,而收集的资料适量便可及以合法及公平的手法收集,并须告知收集的目的及资料的用途;

(2) 须采取切实可行的步骤确保个人资料的准确性,并在完成资料的使用目的后,删除资料;

(3) 限制个人资料使用于当初的收集目的或直接有关的用途上,否则必须先获得资料当事人的同意;

(4) 须采取切实可行的步骤确保个人资料的安全,免受未获授权或意外的查阅、处理、删除、丧失或使用的影响;

(5) 制订及提供个人资料的政策及实务;

(6) 个人有权查阅及更改个人资料。资料使用者应在指定的时间内依从查阅或更改资料的要求,除非条例订明的拒绝理由适用。

(二)《个人资料(私隐)(修订)条例》(PDPAO)电子商务以及相关技术的快速发展,引致全球对信息保护及隐私的关注。为了配合形势,香港进行了《个人资料(私隐)条例》的检讨,分析当时现行的法规对保护个人信息的充分性,并于2012年6月在立法会上通过了《个人资料(私隐)(修订)条例》。

《个人资料(私隐)(修订)条例》修改了个人数据(私隐)条例的原有条文;尤其是把信息用作直接营销的机构,严格规定了该类机构对个人信息的使用的限制,特别是这样的信息的提供和销售。

1.机构在直销方面的责任

在机构使用个人资料做直销前,须告知信息当事人,在取得其同意后方可使用其个人资料。而机构亦须明确告知信息当事人以下信息:拟使用个人资料的种类、该资料被用于何种类别的促销标的、提供途径,让当事人传达同意或不同意。如果机构希望把相关信息转移给第三方,则除了上述的项目以外,还须以书面形式提供该信息,并告知在信息转移中是否牵涉任何金钱利益的有关事项。

2.外包个人信息处理

当机构请求信息处理方对信息进行处理时,不管处理方是在香港或香港以外的地方,原机构应该与信息处理方签订一份合同以防止传输的信息保存超过所需的时间。合同条款也应防止由意外导致的未经授权的访问或更改(如删除),或信息丢失和未经授权的修改。

3.违反《个人资料(私隐)(修订)条例》的刑罚

至于刑罚方面,如果违反了《个人资料(私隐)(修订)条例》,由于得到信息当事人的同意在条例中是最为重要的一个实际步骤,因此处罚主要根据这一项目而设立。如机构在没有得到信息当事人同意的情况下披露个人信息,根据该条例,这是一个新的刑事罪行。触犯者可以被处以最高罚款达港币50万元及监禁长达3年。此外,如果信息在没有获得信息当事人授予的有效同意下被“售卖”给第三方,触犯者会被罚款港币100万元及最高刑罚为监禁5年。

(三) 中华人民共和国国家标准(国标)

中国国家标准化管理委员会亦于2013年2月1日实施了中华人民共和国国家标准,该法规旨在治理和保护个人信息的使用。其中的原则覆盖了将所有或部分个人信息输入到信息系统的过程。它适用于所有组织和机构以外的有公共管理职责的政府部门或类似机构。国标还指出,个人信息可以分为个人一般信息和个人敏感信息,并引入默许和明确同意的概念。国标也列明了机构收集和使用信息的8项基本要求,包括:

(1) 须清楚告知信息当事人使用信息的目的;

(2) 收集的信息不可超过必要的范围;

(3) 明确披露收集信息的目的;

(4) 须征得信息当事人的个人同意;

(5) 确保信息质量保证;

(6) 确保信息获得保护;

(7) 执行诚信;

(8) 须清楚界定明确责任。

在国标中,对用户的信息、信息当事人及第三方监测机构的角色进行了明确规定。包括信息当事人的权利、机构的责任、信息持有者删除信息的责任和第三方监测机构的基本成效。它也清楚地定义了信息处理周期的顺序,并将其依次分为4个阶段:信息收集、信息处理、信息传输和信息删除。

此外,国标有八大原则,用以标出重点领域范畴,当中包括:

(1) 目的明确原则。处理个人资料要有特定、明确、合理的目的,不扩大使用范围,不在个人资料主体不知情的情况下改变处理个人资料的目的;

(2) 最少够用原则。只处理与处理目的有关的最少资料,达到处理目的后,在最短时间内删除个人资料;

(3) 公开告知原则。对个人资料主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人资料主体告知个人资料的处理目的、个人资料的收集和使用范围、个人资料的保护措施等;

(4) 个人同意原则。处理个人资料前要征得个人资料主体的同意;

(5) 品质保证原则。保证处理过程中的个人资料保密、完整、可用,并处于最新状态;

(6) 安全保障原则。采取适当的、与个人资料遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人资料安全,防止未经个人资料管理者授权的检索、披露及丢失、泄露、损毁和篡改个人资料;

(7) 诚信履行原则。按照收集时的承诺,或基于法定事由处理个人资料,在达到既定目的后不再继续处理个人资料;

(8) 责任明确原则。明确个人资料处理过程中的责任,采取相应的措施落实相关责任,并对个人资料处理过程进行记录以便于追溯。

二、机构面对信息保护方面的挑战

如今,许多机构已经实施了监控系统来识别机密信息和传输过程中的信息交换,以防止信息丢失。然而,这些措施仍然可能存在一些漏洞,如监控系统可能无法正确识别机构的机密信息,或者它是否能适当地为机密信息进行加密,这仍然是一个值得机构认真考虑的重点。

机构的个别员工也可能被其他人提供的一些好处所引诱,而有意或无意地泄露了相关的个人信息,而那些人则将该信息用在非法的用途上。例如,将一个包含间谍软件的电邮或U盘存入电脑以获得一个抽奖机会或赢得购物优惠券,等等。人们很容易因为未察觉而掉进这样的陷阱,从而被欺骗并无意地泄漏了信息。

三、数据丢失防护系统(DLP)

在过去的几年中,机构的日常业务运作对电脑系统的依赖日益增长,大量的信息传输是十年前所无法比拟的。加上信息系统的复杂性不断增加,数据丢失或泄漏信息的风险比过去更容易发生。

对于任何机构,数据泄漏/亏损都是不可接受的,因为它往往会导致机构受到财务及声誉/公信力的损害。在丢失/泄漏敏感数据的情况下,机构甚至面对诉讼的可能性。

为了防止发生上述损失,机构可以部署数据丢失防护系统(DLP)政策。它通常是机构按照自己的政策和地方/区域法制定的战略和软件的结合。机构要保护信息,有效的DLP是必要的,因为它涵盖了大多数类型的信息丢失,无论它们是有意、无意(人为错误、错位)或犯罪(盗窃、黑客、机构未经信息当事人同意向第三方销售信息)。

(一) DLP如何协助保护数据

大多数DLP政策会根据资料的状态用特定的软件和方法,通过检测和监测三种主要类型的信息,来实现信息保护。

第一类是传输中的信息(Data in Transit)。它包括进、出或流通于组织内部数位化平台的信息。特定的软件会被整合到机构网络去跟踪内部网络的网络运动或任何可疑的网络交通。通过使用深度包检测(DPI)技术,能够选择性地扫描网络中的信息包内容及它们的源头、目的地和流量。要实现这个功能,传输中的信息应该事先解密或软件有能力去解密,检查后再对其进行加密并传送。如果检测到任何未经授权或不符合机构安全政策的信息传输,DLP软件应能够立即停止有关传送并通知发件人的上级。

第二类是使用中的信息(Data in Use)。这比其他两类信息更加难以监控,因为它包括所有电脑内正在使用的信息。例如将信息复制到一个USB驱动器,将信息发送到打印机,甚至是应用程序之间的信息传输。通过软件代理 (Agent) 设立的规则,DLP可以保护这些信息,迫使用户遵从并限制他们的权利,其中可能包括防止复制信息时终端机未连接到内部网络或阻止用户试图复制敏感信息到U盘。

第三类是闲置信息(Data at Rest)。此类型通常需要一种名为Crawler的软件在机构的数据库中搜索和定位特定信息及档案类型,无论它们是电脑、储存局域网络还是档案存储的信息。Crawler会打开这些档案,并确定它们所包含的敏感信息,然后评估信息是否被放置在中央管理层事先定下的安全规则水平内一个合适的路径。机密信息,如信用卡信息,将被放在安全的路径中并被加密,以防止任何未经授权的访问或活动。此外机构应该定时创建信息备份,以防止可能的硬件、软件故障,停电事故和自然灾害产生的任何信息损失等。

政策方面应设立拥有系统许可权的特权用户,以确保只有选定的个人才可以改变机构的DLP解决方案的设定。最理想的人选就是中央管理层,因为他们更了解日常业务中传输敏感信息的必要性,并对相关政策提出更改,而且发生问题时更容易追究责任。为了避免中央管理层的权力过大,机构必须制订相关政策,防止他们在犯下罪行的同时隐瞒犯罪(例如出售客户个人资料)。提高对信息保护的认识,为员工提供培训,也是DLP的一个非常重要的部分,由于大多数信息丢失事件的发生是由于人为错误,给予他们相关知识亦能减少此等错误和信息损失。

(二) 实施DLP解决方案的优点

通过实施有效的DLP解决方案,机构对本地/区域规则和法规的遵守将得到改善,可减少违法和面临诉讼的可能。DLP的另一个好处是,在检讨和测试当前的业务流程中,任何不必要或错误的过程均会被发现。促使中央管理层制订一个解决方案,从而进一步降低安全性漏洞的产生,更好地保护敏感信息,避免任何不必要的信息丢失或泄漏。再者,通过浏览机构的储存服务器和网络带宽,DLP可以识别任何不必要的信息,删除它们并降低备份所需的大小,从而优化磁盘空间和带宽。

(三) 实施DLP解决方案要考虑的要点

首先,DLP不是万能的,它有它的限制。例如,无法全面解读所有格式的档案内容,图片上的敏感信息或设计档案可能不能被全面侦查及拦阻;移动设备也较难被监测和控制,因为它们有能力发送短信,拍下照片并录制影像档案。因此随着软件的使用,机构必须制定相应的规则和法规,以提高员工对保护信息安全的重要性和损失信息的严重后果的认识。正确运用适当的规则、法规与软件,能进一步将信息丢失的风险降到最低。