區塊鏈 個資委外 去中心化

僅契約不足踐行法規遵循 案例說明系統功能杜絕外洩風險

個資委外管理不當頻傳 區塊鏈落實資料管控

2020-03-30
自2009年迄今,區塊鏈科技發展已超過10年,因該技術具去中心化、不易竄改等特性,相關應用逐漸受到各國政府或企業的重視。除早期對加密貨幣投入外,應用層面已由金融領域日益擴大至國際貿易、智慧財產權或供應鏈管理,亦得以透過區塊鏈科技應用協助個資委外管理。

 

現代企業因分工精細,規劃將部分業務委託他人處理已為常態,例如在網路購物平台下單後,由供應商協助出貨,並請物流業者將貨物送達至消費者指定之處所。然而,因寄送過程中,需要消費者之個人資料,如姓名、地址、電話,隨著網際網路等科技發展,其管理也日益重要。

近年來,個資委外管理不當的新聞時有所聞。如美國Target超市於2013年間因供應商遭駭客入侵,而被竊取四千萬筆客戶的信用卡資料,並陸續付出超過新台幣數十億之損害賠償。2019年8月我國也傳出地方醫療院所被當成跳板,致使連線之醫療機構感染勒索病毒。我國判斷個資委外管理是否妥適的關鍵,依個資法施行細則第8條規定,係在於委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。且委託機關對受託者之監督應至少包含二大事項:(一)預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。


(二)受託者就個資法施行細則第12條第2項採取之措施。

在個資法相關法令(參照施行細則第12條)及實務上,所謂適當安全維護措施等,主要是指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。應至少包含以下11個項目,且其與所欲達成之個人資料保護目的間,具有適當比例為原則,詳見表1。

運用區塊鏈協助委外管理

據了解,目前在一般企業或組織(即個資法之非公務機關),常以契約約定方式作為前述之法令遵循依據。如委託機關於契約內約定,要求受託者依上開相關法規履行適當安全維護措施,且倘發生個資事故時,受託者須自行承擔、或與委託機關共同承擔相關損失。或者,進一步要求受託者填寫制式表單、取得資安或個資相關驗證,以彰顯個資保護與管理之能力。

但是,前述作法並未由委託機關內部管理制度出發,僅係將法律責任轉嫁或要求受託者分擔。個資委外管理的重點在於提供資料之過程,如何有效管理,除強化自身管理能量外(如透過建立個資或資安管理制度),落實控管資料才應是關鍵。

以往,企業或組織可以透過資料庫之權限設定進行相關控管;然而,此一作法隨著科技發展及企業營運模式的改變,已不太符合現行需求。以網路購物為例,需控管的對象不只內部成員,還有外部參與者,如供應商、物流業者,且數量眾多。透過帳號、密碼,FTP下載或API串接等,多僅能針對單一對象,且相關個資或Excel等檔案被受託者取得後,即無法透過原有機制進行控管。倘若委託機關只用此搭配契約約定,作為個資法對受託者「適當監督」之佐證,不僅無法踐行法令遵循,亦可能產生較高之風險或不確定性。

自2009年迄今,區塊鏈科技發展已超過10年,因該技術具去中心化、不易竄改等特性,相關應用逐漸受到各國政府或企業的重視。除早期對加密貨幣投入外,應用層面已由金融領域日益擴大至國際貿易、智慧財產權或供應鏈管理,亦得以透過區塊鏈科技應用協助個資委外管理。

本文以網路購物為例,試說明可能之後台或管理系統功能如下:

(一)應用區塊鏈科技可協助身分管理(如綁定錢包、公私鑰驗證等)。基本架構將以在委託機關內部執行個資法要求之適當安全維護措施為主,避免資料傳至受託者後而無法掌握。其功能模組可能包含:

1.每一供應商有X組錢包(組數可自訂),確認身分後可至委託機關(如平台業者)內查詢、列印訂單;且每日由平台業者上傳資料N次(頻率可自訂),及統一上傳資料格式(如欄位)。

2.限制供應商可查詢Y次、列印Z次;倘於非上班期間暫不提供服務(如20:00至08:00,可自行約定)。

3.透過智能合約等協助,在發現異常(如搭配Log分析,於短期內多次或重複下載之情形等等)時不提供服務,且主動向平台業者進行警示。

(二)如受託者須進一步透過API串接或其他方式取得資料,須另進行雙重驗證(如手機確認),且依平台業者(委託機關)建議安裝特定ERP系統、設定傳輸機制等,以落實委外管理;又,是否提供前台系統給供應商,如入口網站、App,建議搭配原有平台之管理機制,再兼顧客製化需求。

透過代幣提升安全維護誘因

因區塊鏈具備點到點傳輸、分散式帳本等技術特徵,在協助多方參與者之間的溝通,以及資訊同步或整合上,相信可比以往資料庫管理更有效率。此外,因個資委外管理還涉及平台業者(委託機關)與供應商等(受託者)之間的角力,為提高誘因,或許可以透過代幣(Token)之設計,如代幣來源係確認訂單後,由系統生成給供應商,且除查詢或列印皆需消費代幣外,還可進一步規劃成行銷方案、分潤比例或請款優先次序等,提升供應商參與或配合安全維護措施之誘因。

法院攻防之關鍵,多在於如何證明委託機關是否履行適當監督,或有無適當之安全維護措施,透過上開區塊鏈科技應用建立有效之內部管理制度,或可成為企業或組織未來規劃之重點。 

<本文作者陳宏志,目前服務於資策會服創所區塊鏈科技組。資策會服創所區塊鏈科技組長期投入國內外區塊鏈科技之研發與應用,提供政府部門、企業組織與區塊鏈相關之教育訓練、專案諮詢、概念或服務驗證,並協助取得可能資源。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!