BS 10012:2009 Personal Information Management System thoughts 心得分享
經過了數年後,最終還是得再一次的接觸到有關於標準方面的庶務工作,這一次面臨的是個人資料保護管理系統(Personal Information Management System, PIMS)之BS 10012:2009的標準相關工作,在此將這些學習後的經驗記錄下來,以備日後不時之需。
基本上還是逃離不了ISO的標準精神,也就是PDCA(Plan > Do > Check > Act)之自我改善程序。如下圖就是從英國原廠標準文件的附錄中所提取出來的PIMS PDCA循環改善圖。
然後,你也可以從這張圖片的下方小表格看到,他已經很明確地跟你標示出PDCA跟條款的對應項次,分別如下列表所示。這也就是代表著,若您有要實作BS 10012:2009的稽核性工作,那麼你開列的缺失一定會落在這些(3, 4, 5, 6)之條款的範圍內。
- Plan: 第3類條款
- Do: 第4類條款
- Check: 第5類條款
- Act: 第6類條款
複習一下ISO的稽核缺失用語表
基本上用量最大的就是次缺以及觀察,最困難的地方也是在於斷定何時是次缺?何時又是觀察?要特別注意一點的就是「沒有法規要求或證據,就沒有不符合。」這句話,應該被公正的植入稽核員的心中。
- 主缺:Major(Maj);基本上會引發全面性的系統崩潰才會開列到這個等級,平常不要輕易使用,除非你想對這個驗證單位判定死刑。
- 次缺:Minor(Min);經過抽樣發現之客觀證據證明為單一、偶發、非連續的事件,就用這個啦!次缺今年不改,明年就會變成主缺。
- 觀察:Observations(Obs);沒有足夠的稽核證據可以證明之,這時候可以開列觀察,看看該單位明年的改善情況。也就是說,今年因為時間或作業時程的問題,有些證據讓驗證方躲避掉沒有辦法取得,但你可以使用這一個工具對其下釘子,明年再來稽核時將列為重點視察項目。
- 建議:Opportunity for Improvement(OFI);稽核員對於驗證端之求好心切,開列一些建議事項讓驗證端可以實作參考用,但驗證端亦可不需要理會。
開始討論BS 10012:2009內文重點
在這裡我沒有逐條的把BS原文規範打印出來,我的討論方式反而是把「值得討論」的點先標記出來,再佐以BSI原文的對照,這樣一來閱讀的人容易知道在講什麼,接著可能會標記出需要注意的重點。
| 條文 | 原文 | 中譯 | 關注點 |
|---|---|---|---|
| 2.1.6 | Personal Information/ personal data relating to an identifiable living individual | 個人資訊 | 套用在尚生存之人;自然人 |
| 2.1.12 | Sensitive Personal Information | 敏感性個人資訊 | 基本上這是英國定義的高風險性個資,若你的公司要通過這個驗證,那麼這些高風險個資之於台灣的個資法之高風險個資,你可能要取一個聯集,否則會落入到兩邊不是人的窘境。(亦可參考4.2.2) |
| 2.1.14 | Workers/ people working under the control of the organization. NOTE: This includes employees, temporary staff, contractors, volunteers and consultants. | 員工 | 基本上已經指所有的員工,包含受雇、臨時工、契約工、派遣工、志工、顧問...,也就是說企業若想要取巧,幾乎已經躲不掉了。 |
| --- | Plan | --- | --- |
| 3 | Planning for a personal information management system (PIMS) | 規劃個人資訊管理系統(PIMS) | 要你好好的規劃,開始PDCA的Plan。 |
| 3.2 | Scope and objectives of the PIMS/ The organization shall define the scope of the PIMS and set personal information management objectives | PIMS的範圍與目標 | 這應該是老闆們最關注的點,是的BS 10012:2009可以讓你「自訂目標範圍」,但是如果是套用到台灣的個資法,那可是全範圍的喔!要不要取聯集就看老闆的意志了。 |
| 3.3 | Personal information management policy/ ... The policy shall be communicated to all workers. | 個人資訊管理政策 | 這裡其實已經在告訴你,這個高層決心決定下的政策,應該被布達到全公司所有的Works,實作上只要Works找的到文件在哪(例如在出入口公布欄),這樣就算合法啦! |
| 3.4 | Policy content | 政策內容 | 個人資訊管理政策「要求」事項總共15項,就在這裡啦! |
| 3.5 | Responsibility and accountability | 責任與歸責性 | 這裡的重點在於制定A跟R的權責,所以老闆出事情時也躲不掉了。 |
| 3.7 | Embedding the PIMS in the organization’s culture/ a) raise, enhance and maintain awareness of the PIMS through an ongoing education and awareness programme for all workers; establish a process for evaluating the effectiveness of the PIMS awareness delivery; | 將PIMS納入組織文化 | 這一個重點就是說,你要對全部的員工「持續的」進行「通識型」教育訓練,讓公司的政策內容可以讓所有的人瞭解,並且要建立「有效性的評估」。也就是說,你不是每年發一發EMAIL,或者是大拜拜的上個課,就算教育完成了。 |
| --- | Do | --- | --- |
| 4.1.1 | Senior management | 高階管理階層 | 這裡明定要指派一位成員,負責組織個人資訊管理。(Accountability: 單位副首長、個資管理代表) |
| 4.1.2 | Day-to-day responsibility for compliance with the policy | 日常政策遵循之責任 | 這裡明定要指派一位或多位具有經驗的成員(可以是專任或兼任),來負責日常政策的遵循。這些人要負擔「遵循政策之完全責任」。(Responsibility: 推動小組、執行小組) |
| 4.1.3 | Data protection representatives | 資料保護代表 | 就是該業管單位中實際在執行或推動的人員,可能是該單位的組長之類的。(只有協助完成遵循政策之責任) |
| 4.2 | Identifying and recording uses of personal information | 識別並記錄個人資訊的用途 | 開始要產生個資清冊啦! |
| 4.2.1 | General/ An inventory of the categories of personal information processed by the organization shall be maintained. This inventory shall also document the purposes for which each category of personal information is used. The organization shall document where the personal information flows throughout the organization’s processes. | 概述 | 這裡有兩個大重點: 1.組織應維護其所處理之個人資訊類別清冊。此清冊亦應文件化各項個人資訊類別的使用目的。 2.組織應將組織流程中的個人資訊流文件化。(所以應該建立流程圖或者是文字描述的資料流文件。) |
| 4.2.2 | High-risk personal information | 高風險個人資訊 | 這裡面當然列舉了英國人認為的高風險個資,例如銀行帳戶、身分證號、弱勢成人兒童(清寒?)、個人詳細資料(可以一次完整性的描述一個人的資料,例如人事資料、學籍資料)、敏感性協商資料(欠債、犯罪紀錄)等。 |
| 4.3 | Training and awareness/ All workers shall be given training to enable them to process personal information in accordance with the applicable procedures. This training shall be relevant to the role which each worker performs within the organization. | 訓練與認知 | 這裡強調的是之前那些背負「Responsibility」責任的人的「專業型」教育訓練,但是這裡沒有提到評估的方式。或許有證照就可以,或許主管認為可以就可以。 |
| 4.4 | Risk assessment | 風險評鑑 | 公司內部可以選用外部方法論(例如ISO 29134隱私衝擊評估),但也可以使用自己的土炮方法論,沒有特定的明文要求,但一定要被記錄在認可的程序書內。 |
| 4.5 | Keeping PIMS up-to-date | 保持PIMS的更新 | 在講管理制度、系統面的程序更新(亦可參考4.17),但這裡比較偏向因為組織需求或技術變更時的「不定期」審視。當這一點沒有做到時,會把4.1.2那些可憐的Responsibility人叫出來鞭打。 |
| 4.7 | Fair and lawful processing | 公正與合法的處理 | 公正:雙方的資訊量相等、對等之情況,充分地讓對方了解到你想要做些什麼。(例如面試時在你同意下要你繳交高風險隱私,這有一點走在公正的邊緣,但仍屬合法。) 合法:依法、依合約、依契約,總之要找的到法源的依據。 |
| 4.7.1 | Collection and processing of personal information | 個人資訊的蒐集與處理 | 這裡規範的是「第一次蒐集」個資,亦是著名的「隱私權公告」或「隱私權聲明」的做法來源了,總而言之,你就是要讓這份聲明充分地告知使用者為何我要用到這些個資、我的目的為何、是不是會透漏給第三方、會不會跨國境、日後要查看聲明時要找哪個窗口? |
| 4.7.2 | Record of privacy notices and statements/ The PIMS shall incorporate procedures for maintaining records of privacy notices and online privacy statements. These records shall be retained for at least as long as the personal information to which they relate is retained. | 隱私權公告與聲明之紀錄 | 重點在於紀錄,也就是事後找的到,另外要強調的是,隱私權紀錄的保存時間至少等同於個資保存時間,不然豈不鬧笑話了。 |
| 4.7.3 | Timing of privacy notices and statements | 隱私權公告與聲明之時機 | 簡單的說,就是你在個資蒐集之前,就應該要先讓人家看到這份公告或聲明,不可以事後(調查完)才出現。 |
| 4.7.4 | Accessibility of privacy notices and statements | 隱私權公告與聲明之可用性 | 隱私權公告與聲明這份文件,要被當事人可以事後存取的到,因此最好所有的歷史版本都保留下來吧!如果是放在網站上的話,最好設計成無障礙的格式是最理想的。 |
| 4.7.5 | Third parties/ The PIMS shall incorporate procedures which ensure that personal information is collected from third parties fairly and lawfully. | 第三方 | 這裡在規範要如何從「第三方」管道「拿取」個人資訊,例如學校從大考中心匯入資料到資料庫中。這裡要注意的是如果你只有拿少數幾筆,那麼你是要跟當事人講的。除非拿了大量的資料,造成投入的作業不成比例,這樣就可以免除跟當事人通知。 |
| 4.8 | Processing personal information for specified purposes/ Objective: To ensure that personal information is obtained only for one or more specified purposes, and is not further processed in any manner incompatible with that purpose or those purposes. | 處理個人資訊的特定目的 | 目標:確保個人資訊僅為某些特定目的所取得,並且不會在與目的不符情況下,做進一步的處理。(一般於稽核之實務上來說,並不會去探討蒐集這些個資是否有超出使用目的,而是會比較把焦點放在如何審查、管制超出使用目的之蒐集。) |
| 4.8.1 | Grounds for processing | 處理準則 | 基本上這一段就是在講,你不可以把蒐集到的個人資料,用在你宣告於目的之外的用途,除非「法律規定之例外」或「當事人已經同意」。另外,如果你是在處理敏感性個資,就更強調要取得當事人的明確同意(例如重新簽署同意書)。 |
| 4.8.2 | Consent to new purposes | 新目的同意 | 這一項最主要是在更精細的規範「補充蒐集」的流程。如果你要把個人資料運用到新的目的上,那麼一定要取得當事人的「正面表示同意書」,同時隱私權聲明紀錄應該也要換版到新的,並留下同意紀錄。 |
| 4.8.3 | Data sharing | 資料分享 | 這裡指的是將個人資料給予一個「特定的」第三方對象,這個特定的對象通常你不太會有對其監督的義務(例如銀行對財政部的OO通報作業)。 如果是經常性的分享,最好還是與對方簽訂書面協議或契約,以限制或禁止該第三方對象進一步的使用個人資訊。 必要時,最好還是取得當事人對於個人資料分享的同意。 另外也建議,最好將這些程序列入到隱私權公告或聲明中,比較妥當。 最後,你必須為了這個分享作業,將所有的軌跡留下進行文件化,以防止未來被稽核或是進行其他的求證時,可以用來證明其正當性。 (亦可參考4.15) |
| 4.8.4 | Data matching | 資料比對 | 如果將合法的數據經過演算或比對(超潮的大數據分析?)產生一個新的結論,而這個結論將可被用於新的目的上,那麼你還是得先取得使用者的同意。 |
| 4.9.1 | Adequacy | 適當性 | 同樣的,稽核員基本上不涉入去討論被稽核單位所蒐集的資料適不適當,而是去討論其「是否有審查適不適當的制度、流程?」。 |
| 4.9.2 | Relevant and not excessive | 相關且不過度 | 公司端在蒐集資料時,就是要秉持著「必要的最小資料蒐集」原則。此外,是不是符合前述的原則,就需要有一套制度或流程來審查驗證。 |
| 4.10 | Accuracy/ Objective: To ensure that personal information is accurate and, where necessary, kept up-to-date. | 正確性 | 目標:確保個人資訊之正確性,且在必要時,保持最新的狀態。 這一點的規範我個人是很不以為然(我怎麼能保證我蒐集到的個資時刻都是正確的?),但是標準就是標準,實作就是了,實際的要求上就是你必須要開放「會員資料變更」的功能吧! 如果是涉及到軌跡、歷史性的資料,那麼公司端是可以拒絕使用者申請變更的。(可以用4.10 正確性的規範來反擊使用者無理的要求) |
| 4.11 | Retention and disposal | 保存與處置 | 這一段是在談保存個人資料應該有其「期限」,若要無限期的話,應該有對應的法規或依據。若有期限且到達的話,應該有一套銷毀的流程,包含核准銷毀、監督銷毀、驗證已銷毀等過程。 |
| 4.12.2 | Complaints and appeals | 抱怨與申訴 | 這一段是在談使用者「個人的權利」,也就是應該留有管道讓使用者可以持續的反應、抱怨、申訴自己的權利,包含到可能最後上法院的關卡,應該都被制定到程序書內並且實作。 |
| 4.13.1 | Security controls | 安全控制措施 | 這裡很妙,BS沒有要求你要制定程序書來進行安全控制,但是要求公司要「明確的設定安全控制措施」。因此在這裡如果沒有實作ISO 27001的公司,可以鬆了一口氣,否則這邊衍生出來的文件量可是很驚人的。 |
| 4.13.2 | Storage and handling | 儲存與處理 | 要安全的儲存與處理個人資訊。(廢話) |
| 4.13.3 | Transmission | 傳輸 | 傳輸時以適當的方式加以保全,以防護傳送中的資訊。(加密) |
| 4.13.4 | Access controls The PIMS shall incorporate/ The PIMS shall incorporate procedures which ensure that, where access by workers to personal information is allowed, this access is restricted to those workers who require such access as part of their role. | 存取控制措施 | ...確保資訊存取僅限於因角色所需之員工。(存取資料必須依照身分進行分級制度) |
| 4.13.5 | Security assessments | 安全評鑑 | 要定期舉行安全評鑑喔!如果評鑑發現不合時宜,那麼還要產生改善報告! |
| 4.13.6 | Managing security incidents | 管理安全事故 | 發生資安事故後要怎麼做?如何從事故中學習?是否有開立「矯正措施單」?是否有執行矯正措施?是否需要通報主管機關?是否需要通報當事人?事故過程是否有留下所有的轉介及通報紀錄? |
| 4.14 | Transfer of personal information outside the EEA | 將個人資料傳輸至歐洲經濟區之外 | 這裡台灣其實很尷尬,但是如果你有要通過BS相關測驗的話,只要記住一個原則就好。傳送過去的國家必須是被歐盟評估確認過,具備有適切保護機制的國家(例如中國就不適合)。但話說回來,相信也不會有白目稽核員來挑戰公司這一點。 |
| 4.15 | Disclosure to third parties | 揭露與第三方 | 這裡指的是在合法為前提下,將個人資料給予一個「非特定的」第三方對象,例如警政單位來函。 僅揭露必要之最少量個人資訊,也就是說資料給得越少越好。 一定要留下所有過程中的軌跡,以利後續稽核。 (亦可參考4.8.3) |
| 4.16 | Sub-contracted processing | 外包處理 | 接下來就是無良企業最愛的外包處理了,在BS規範裡面休想逃走,請乖乖地配合時做好管理程序書吧!首先,你意識到對這個外包組織具備有監督的義務,所以你必須這個外包企業簽訂合約、契約書。 對其「實質審查」,並要求其實施適當的「安控措施」以及「定期稽核」之。 如果想要用子公司的子公司來躲避是沒用的,請至少實施「與其他組織一樣的安控措施」。 契約終止時,個人資訊應該銷毀或交還給企業本身。(別忘了銷毀時請到場監督喔!) |
| 4.17 | Maintenance | 維護 | 整體PIMS制度系統應該有一個程序書來確保其正確性與適切性,應該透過定期規劃與執行來達成維護的效果。(亦可參考4.5) |
| --- | Check | --- | --- |
| 5.1.1 | Audit planning | 稽核計畫 | 公司內部是否有安排監督或審查組織(內稽小組)?是否有確實在執行內部稽核? |
| 5.1.2 | Selection of auditors | 稽核員的挑選 | 內稽的稽核員本身是否適切?(是否有形成自己稽核自己之迴圈?有的話應該避免掉。)此外,因為稽核本身就是一個專業,因此這邊的話題容易被衍生到「4.3 專業教育訓練」的區塊接續討論。 |
| 5.1.3 | Audit requirements | 稽核要求 | 用內部稽核的角度,來觀察是否有持續實施與維護PIMS整體系統制度。 |
| 5.2 | Management review | 管理審查 | 這裡還是在談論定期、規律、或預定時間,定時的執行管理審查(會議)。 |
| --- | Act | --- | --- |
| 6.1.2 | Preventive actions | 預防措施 | 這裡是描述「未發生」時的預防作法,總歸來說,你還是要自己持續的審查自己,找出可能的弱點風險(不符合事項)。 |
| 6.1.3 | Corrective actions | 矯正措施 | 當出現了不符合事項,就應該被提出矯正,並且落實矯正,然後把一切的過程全部記錄下來,嚴重的話或許應該再重新作一次隱私衝擊分析(Privacy Impact assessment, PIA)都不為過。 |
| 6.2 | Continual improvement/ The organization shall continually improve the effectiveness of the PIMS through the audit results, preventive and corrective actions, and management review. | 持續改善 | 組織應藉由稽核結果、矯正與預防措施及管理審查,以持續改進PIMS之有效性。 |
BS 10012:2009業務施作的順序
如果公司有想要推行BS 10012:2009驗證的話,那麼起始到終了的工作順序建議如下:
- 業務流程盤點(4.2)
- 特定目的盤點/管理(4.2、4.8)
- 法規盤點/管理(4.2、4.8)
- 個資檔案盤點/管理(4.11)
- 個資資料檢核(4.9、4.10)
- 個資風險評鑑(4.4)
- 安全議題(4.13)
- 外包管理(4.16)/契約/稽核
- 隱私權公告/隱私權聲明/告知事項(4.7)
- 保密協議書/切結書(4.8、4.14、4.16)
BS 10012:2009主導稽核員考試中比較常出現的題目
最主要是要讓你透過書寫、背誦來理解施作的各項要點。法規對應之數字要項,越前者關聯性越強,越後者表示關聯性越弱(但還是勉強有關聯),重點是你自己要能理解、內化與解釋。
- 個人資訊管理政策要求的事項(3.4、3.3)
- 日常政策的遵循要求事項(4.1.2、3.7.C)
- 隱私權聲明要求事項(4.7.1、4.7.2、4.7.3、4.7.4、4.1.2.f)
- 個人資料品質相關要求(4.9.1、4.9.2、4.10)
- 外包管理要求事項(4.16、4.8.3)
- 資訊安全議題(4.13、4.14.C)
- 傳輸、儲存與處理安全(4.13.2、4.13.3、4.13.4)
- 管理安全事故(4.13.6)
- 將PIMS納入組織文化(3.7)
- 訓練與認知(4.3)
案例:標準與法規的解讀
無標準答案,但大方向的答案是如此,可自行內化法規與並在心中進行辯證。
Agreed: 4.9.2;Disagreed: 4.7.1
Agreed: 4.2、4.9.2.a
Disagreed: 4.11.a
Disagreed: 3.3、3.7
Agreed: 3.2
Agreed: 4.7.1
Agreed: 3.7
BS 10012:2009 沒有這條規範喔!但是個人資料保護法中反倒是沒有載明「政治立場」是特種個資。
Disagreed: 4.13.6.c
Agreed: 4.2.1、4.2.2
Disagreed: 3.2
Disagreed: 4.2.2、4.4
Disagreed: 4.3、4.16
Disagreed: 肯定是不可能依此免罰的,但是也沒有BS條文可以引用。
Disagreed: 4.16
Disagreed: 3.5
Disagreed: 4.14
Disagreed: 4.11
Disagreed: 4.2.2
Agreed: 4.7.1
案例:個資缺失的判定
無標準答案,但大方向的答案是如此,可自行內化法規與並在心中進行辯證。
OBS. 6.1.3
MIN. 4.12.2
MIN. 4.3
OBS. 5.2
MIN. or OBS. 3.7
OBS. 4.1.1
MIN. 4.2.1
MIN. 4.7.2
MIN. 4.8.2 or 4.8.3
MIN. 4.8.3 or 4.16
Files Download/檔案下載
BS 10012:2009 官方文件 / BS 10012:2009 Data protection – Specification for a personal information management system.