企業或組織對於手邊擁有的資料,在規劃資料治理或相關運用前,除考量以系統或工具處理同步、異質及其他需求外,還有合規性或安全等議題,始能符合信任、可靠之特質,且可避免後續衍生不必要之困擾。
在資料經濟時代內,大家都知道資料(訊)的重要性,無不希望透過轉換或其他方式,使其具備交易可能或增加附加價值,因此資料治理等運用油然而生。但企業或組織對於手邊擁有的資料,在規劃資料治理或相關運用前,除了考量以系統或工具處理同步、異質及其他需求之外,還有合規性或安全等議題,始能符合信任、可靠之特質,且可避免後續衍生不必要之困擾。
以合規性議題為例,不僅資料來源需要合法,例如個人資料或隱私資訊之蒐集、處理或利用符合相關法令,因現代許多資料處理的活動,可能發生於承接專案或政府標案,此時也需要符合委外或業主對於供應商之規範。如常見之政府採購,我國政府採購法或相關契約,對於資料處理(或治理)或其他運用,雖有資安管理或個資委外監督等要求,但具體內容並不完整。本文試以美國聯邦採購規範為例,因其有較完備之機制,用以說明合規性相關內容,俾供參考。
提供產品或服務時之合規性要求:以美國為例
在美國,舉凡取得聯邦政府之資源,如獲得補助進行研發時,原則應先依聯邦採購規則(FAR)辦理,例如符合投標資格、遵守權利義務或其他需求。成為供應商(含承包商、分包商)後,尚應兼顧攸關執行之供應鏈風險管理(SCRM)或其他項目,這些事項都可透過簽署契約約定相關權利義務,如取得認證或保密,以為憑據。
此外,涉及產品或服務之提供時,還必須遵行聯邦採購供應鏈安全法。該法前於2018年訂定、嗣於2020年修正。2020年之修正除賦予聯邦採購安全委員會(FASC)法定地位,也授權其可發布法令。尤其是在供應鏈部分,會先由技術專家組成工作小組,協助實施資訊分享、風險分析與評估等項目。
聯邦採購供應鏈安全法之重點,係從美國國家安全等角度出發,透過法令之規範,讓聯邦政府各部門不致採購到有風險的產品或服務。為此,FASC參考技術專家之建議後,可據此要求各部門分享可能有風險之資訊,例如某資訊系統或網站之弱點或漏洞,並可要求排除或拒絕有疑慮的採購內容,落實前述供應鏈風險管理之要求。至於風險評估之具體內容,則係參照41 USC § 4713規範,目的亦是降低或減少可能的風險。
另各部門所分享可能有風險之資訊,又分為強制性與自願性兩大類。其中,強制須進行資訊分享的情形為:1.應FASC要求所提供之特定資訊,如採購產品或相關內容。或2.採購單位(即各部門)有合理依據,認定該採購或採購涵蓋之產品或服務,已有重大之供應鏈風險。
至於排除或拒絕有疑慮的採購內容,亦分兩類,包含從各部門之內部資訊系統移除採購內容,以及可公布不限現在或未來都不能採購之項目。關於外界可能關切不能採購之項目規範,另見聯邦採購供應鏈安全法§ 201.301,並於Part C內有具體程序可供參考。
綜上,由美國規範可知,除了成為供應商之形式資格外,在風險管理部分,對於產品或服務之提供,重視SCRM與相關法令。爰在規劃資料治理或其他運用之前,建議應了解其規範。又因美國對於相關資訊之管理,更有具體要求,續說明如後。
美國對於確保聯邦契約資訊之要求
如前所述,取得美國聯邦政府資源時,將依聯邦採購規則(FAR)或其他法令辦理。但因FAR多為原則性規定,為利執行與落實SCRM,聯邦政府各部門會再進一步提供操作說明或類似文件供內部參考。
以國土安全部(DHS)為例,尚提供採購管理手冊(HSAM)以說明辦理採購應注意事項與建議,例如HSAM章節之3024,建議個人資料與資訊公開依FAR Part 24;HSAM章節之3025,則建議涉國外採購依FAR Part 25;以及HSAM章節之3051,建議承包商使用政府資源依FAR Part 51,俾供所屬各部門參考。
除考量採購作業進行之需求外,在安全管理方面,FAR最主要的規範係為確保聯邦契約資訊(FCI)之安全無虞。所謂之聯邦契約資訊依FAR 52.204-21(a)內定義,係指向該契約提供或所生資訊,包含為政府研發或交付之商品或服務內容;但不含原本應公開之政府資訊,如處理付款之必要資訊。
為保護與管理FCI,取得聯邦政府資源者,除應與資助機關簽署契約外,內部管理機制還必須符合FAR 52.204-21規定之FCI基本保護要求,如保護與管理FCI相關之資訊系統,應包含透過授權控管、識別使用者資訊與活動(如身分驗證)、及時通報、惡意活動之防止等功能或措施。
結語
美國為保護與管理FCI,要求供應商之資訊系統應有授權控管、身分驗證、資安事件通報,或惡意活動之防止等。雖我國政府採購法並無此類具體要求,但在資通安全管理法(簡稱資安法)內,針對資訊安全部分,有要求適用對象應落實資通安全維護計畫或應辦事項,例如導入資訊安全管理系統、採行資通安全防護措施,以及提升人員認知,可透過採購契約約定據以連結。
不過,資安法適用對象為公務機關與特定非公務機關,且目的是因應資安威脅或要求建置安全管理之機制。對於一般企業或組織來說,如未承接政府專案,或較感隔靴搔癢。但實則不然,不僅美國對供應商之規範,以我國涉及資訊委外管理之適法性要求為例,依資安法與其施行細則規定,若企業或組織屬公務機關或特定非公務機關委託辦理資通業務之供應商,亦會注意合規性之要求。
舉例來說,如資安法施行細則第4條之規定,委託機關可能會透過招標文件或雙方之契約約定,要求受託機關配合其監督稽核或其他監督作為。基此,資料經濟時代內,透過資料治理或其他運用,當可增加附加價值。然而,此一前提之關鍵在於無論是自己或委外之資料治理、安全或信任,皆要求落實法令遵循,美國FCI規範或我國資安法即為適例,建議應多予重視。
<本文作者:陳宏志現於資策會服務,目前專注在資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權領域,規劃區塊鏈或相關應用。>