不少企業基於保護商業機密、 盤點智財避免侵權等等因素, 早就開始對員工的電腦進行監控。 個人資料保護法 預計將於 七月一日上路, 這讓企業有更大的壓力與正當性要求 IT 部門擴大規模佈署這類監控技術, 作為保護客戶個資的 「安全維護措施」。 而員工在公司 (說不定連回家以後也是) 使用電腦/平板/手機的一言一行, 也將有更多機會與細節會曝露在僱主或上司的目光之下。 本文要提醒員工: 個資法保護的對象並不只有客戶, 也包含你自己 -- 尤其是自備機器上班 (BYOD) 的情況 -- 你也有權利依據個資法向公司詢問自身隱私資料如何被使用。 也要提醒企業: 不要迷信技術, 把 「安全維護措施」 通通交給軟體。 事實上, 從降低企業自身風險與責任的角度來看, 最好:
- 用互信的文化培養員工的向心力以及對所有人隱私的尊重; 把重心放在防止粗心洩密的制度和員工資安意識/職業道德宣導而不是軟體監控技術
- 避免資訊外洩的 「安全維護措施」, 技術部分宜採 「軟體提醒/警告」 取代 「軟體監控」
- 在滿足法律責任的前提下, 監控員工電腦行為的相關記錄檔應該儘量減少蒐集資料量、 縮短保留期限 (data retention)
個資法的立意良好; 對於 舊版施行細則 應如何修正, 法務部也慎重地 預告修正草案並徵詢各界意見, 充分展現其對於民意的尊重。 法條就留給法律專家分析; 本文僅僅針對 施行細則當中的第九條 「適當安全維護措施」 提出一個觀察: 某些企業很可能會以 「個資法要求保護客戶隱私」 為由, 在員工的電腦上安裝各種監控軟體, 監看員工的一舉一動 -- 在聲稱保護客戶隱私的同時, 卻也矛盾地侵犯了員工的隱私。
但重視個人隱私權的員工應該要注意到: 個資法並未限定保護對象只有客戶。 公司對員工 -- 例如透過企業內部的監控軟體 -- 進行 「個人資料之蒐集、處理及利用」 一樣也要受到個資法的規範! 也就是說, 一方面個資法的施行, 讓企業繃緊神經強化內部控管以保護客戶隱私, 另一方面卻也同時讓員工本身開始有法律依據可以爭取 「不被監控」 的權利。 你在公司使用 e-mail、 msn 等等個人通訊軟體, 是否疑似被公司監視/側錄? (可疑跡象: 速度比其他網站慢、 會掉信、 掉訊息、 管理階層知道你的秘密 ==> 公司可能安裝 DPI 深度封包檢測軟體侵犯你的隱私) 勞工團體、 各行業的工會應該更積極地針對此事提醒勞工捍衛自身權益。
對於公司在辦公室所配發的電腦, 一般員工也許早已很能接受遭到監控。 (其實你並不需要百分之百照單全收。) 但至少在一個場域裡, 員工特別應該勇敢站起來捍衛自身權益: BYOD。 Bring Your Own Device 就是帶你自己的筆電/手機來上班。 員工如果 只從 「自己的電腦/手機配備比公司的棒」 的角度著眼, 或許會欣喜地迎接 BYOD。 但是從另一個角度來看, 公司的 IT 部門是否有權利監視、 遙控、 甚至銷毀員工自己擁有、 帶入辦公室的電腦/平板/手機 (或其中資料) 呢? 既然公司的機密資料進了員工自購的電腦/平板/手機, 公司甚至可能還幫員工付部分的通訊費用, 那麼公司上述行為的正當性似乎也就確實提高了一些。 員工是否意識到: 公司 IT 部門以 「保護商業機密、 盤點智財避免侵權、 保護客戶個資」 為由, 在自己的電腦/平板/手機安裝了監控軟體, 有可能會:
- 自動鎖機或遠端搖控鎖機?
- 遠端搖控刪除資料? (公司資料還是全部資料 -- 包含我的通訊錄?)
- 上傳我這支手機的行蹤及各種使用記錄? 包含我瀏覽網頁、 使用臉書或噗浪的記錄?
公司做這些事情的時候, 會通知我嗎? 我的電腦/平板/手機在非上班時間也受到控管嗎? 公司裡有哪些人有權限可以看到我手機及電腦裡面的上述種種個人資料? 如果我這部電腦/平板/手機跟家人共用, 他是否也受到監控? 如果我這部電腦/平板/手機因為疑似 (我或他人) 不當使用而遭鎖機或沒收檢查, 公司對我有沒有相對應的補救措施, 例如允許或幫我把我私人的資料救出來、 借我一部備用機等等? 我離職的時候, 公司還保留著這些資料嗎?
The Dark Side of BYOD – Privacy, Personal Data Loss and Device Seizure 一文提醒員工: 「如果你不怕聽到答案的話, 你應該向公司提出上面這些問題。」 個資法固然不能解決上述所有問題, 至少讓員工可以依法對公司提出上述隱私相關部分的問題。 值得一提的是: 據說最受歡迎的 BYOD 裝置是蘋果的產品; 但蘋果在為企業設計行動裝置管理 (MDM) 的時候, 似乎主要是 從公司控管 (而不是從員工隱私與自主權) 的角度出發。
再來從公司 -- 特別是 IT 人員 -- 的角度來看監控員工電腦的問題。
首先指出一個重要的基本觀念: 安裝在使用者的機器上的任何監控軟體, 永遠都無法徹底阻止有心人士偷渡資料。 軟體應該 協助員工避免意外 洩漏公司機密資料 (包含客戶隱私資料), 而不是 禁止員工主動 外洩公司機密資料。 DRM 遙控數位枷鎖的失敗, 就是一個很好的警惕。 DRM 原本意圖封鎖的, 是受到智慧財產權所保護的數位內容; 現在因應個資法, 未來市場上也可能會出現一些軟體聲稱可以封鎖員工電腦上的客戶隱私資料。 兩者企圖封鎖的內容固然不同, 但面對的技術困難與侵犯用戶人權的事實則是一致的。 事實上還有先前中國大陸... 企圖封鎖言論 呃, 根據官方說法, 是要封鎖色情 ... 的 「綠壩」 也一樣。 從軟體設計的角度來看, 意欲封鎖資訊的內容固然不同 (版權有限的數位內容/不和諧的言論/色情/客戶隱私); 軟體的邏輯和面對的挑戰都是一樣的。
協助員工保護客戶隱私的軟體 (以下簡稱 「客戶隱私保護軟體」), 其設計原則應該摒棄 DRM 或綠壩的心態/思考模式, 改從封鎖第五和第六類資訊的心態/思考模式出發 -- 阻擋垃圾信及防毒軟體。 再一次地, 封鎖垃圾信的技術也必須面對上述各種應用所面對的類似技術問題 (例如: 要不要進入壓縮檔和映像檔 zip/7z/tgz/tbz/iso/... 裡面檢查? 要不要進行圖=>文轉換 OCR? 要不要進行深度封包檢測 DPI? ...); 但垃圾信過濾軟體或防毒軟體 vs DRM 或綠壩的最大的差別在於: 垃圾信過濾軟體或防毒軟體尊重使用者最終的判斷, 把最後的決定權交回到使用者手上。 任何垃圾信件過濾軟體都提供誤判回報, 並且讓使用者可以自行新增刪除過濾條件。 設計客戶隱私保護軟體, 也應有相同的心態: 它的任務應該是 警告 而不是 禁止 員工, 減少員工 意外 傳送 電腦判斷 疑似 客戶隱私的資料 (及公司機密) 的機會。 因為這個根本上的 心態/思考模式 差異, 讓垃圾信過濾軟體和防毒軟體免於 DRM 軟體及綠壩的窘境 -- 後二者的演算法見不得人, 所以從資訊安全的角度來看, 不符合 Kerckhoffs' principle, 是必敗的技術。
採用這個心態/思考模式來設計客戶隱私保護軟體, 也更能促使軟體設計者儘量減少回報與記錄員工的電腦活動, 降低企業對 員工隱私 保護的法律重擔。 例如, 如果我來設計這類軟體, 可能只會將員工的 「警告過濾器設定檔的更新歷史」 跟 「軟體判斷封鎖但員工認定放行」 的資料記錄並傳回公司主機。 還有, 為了提高安全性, 我會儘量撿既有的自由軟體來改, 並公佈修改後的程式碼 -- 這也比較符合個資法七、八、九條強調 「告知」 的概念, 遇到法律爭議時, 可以用這點展現公司尊重員工隱私的誠意。 我不會 用苦行僧的方式從頭開發, 更不會採購自己看不見原始碼的軟體安裝到員工的電腦上。 如果有一天員工依據個資法要求公司告知公司透過電腦對他所蒐集的個人隱私資訊時, 開誠佈公釋放原始碼的這種策略比較有利於公司自保 -- 比較容易說明公司蒐集員工資料的行為符合個資法第五條的 「尊重、 誠實、 信用、 不踰越、 有正當合理關聯」。
另一方面, 軟體 尊重員工最終判斷, 並不表示公司同意員工可以自行決定任意洩漏客戶隱私或公司的其他機密。 這只表示公司具有正確的資訊安全意識: 軟體不可能百分之百正確判斷每一筆資料是否為客戶隱私或公司其他機密。 軟體尊重員工的最終判斷, 反而讓軟體作者可以放心大膽地從嚴判斷、 誠實以告, 對於任何可能洩密的未檢查或已檢查但沒把握的途徑都不厭其煩地提醒員工。 (「您有一個無法辯識的映像檔未經本程式掃瞄。 請手動掛載並啟動本程式掃瞄。」)
推薦採取如此心態/思考模式的原因, 不只是技術考量, 更重要的是企業文化考量。 第一, 最終的責任歸屬 ( accountability, 不是 responsibility) 因而落在員工身上, 而不是落在難以究責的軟體供應商身上。 被軟體提醒的員工如果遇到沒有把握的狀況, 應該主動請示相關主管, 這才是保護客戶隱私資料負責的態度與流程。 第二, 尊重員工 (的隱私與自主權), 是尊重客戶 (的隱私與自主權) 的第一步。 企業主/CEO/CIO/其他高層/IT員工 這些人對於基層員工隱私的態度, 究竟是認真地予以尊重, 或是仗著本身的業務優勢而為所欲為? 看在所有員工眼中, 這將造成一種具有潛移默化效果的 企業文化。 當員工有機會接觸客戶資料的時候, 也會有類似的心態。
最終, 資訊總是渴望自由。 不論你我喜不喜歡, 除了對所有員工 (還有訪客) 挖眼睛挖耳朵改植 DRM 版本以封鎖類比漏洞 (analog hole) 之外, 技術方法是不可能完封資訊的。 而且, 企業資安出問題的原因經常是因為員工疏忽而不是因為員工惡意外洩或外人入侵。 技術只能稍微提高門檻, 讓資訊不容易因為員工疏忽而外洩。 也就是說, 從技術的角度來看, 「監控員工」 並不是保護客戶個資 (及公司機密) 的好方法。 單單從技術觀點來看, 最重要的是: 員工資訊安全意識的教育訓練 (你們的 CIO 還沒叫大家 丟棄舊版 IE 嗎!?)、 密碼限制存取、 (最後, 如果有額外的資源, 才是...) 軟體檢查警告。
Security is a process, not a product.
(資訊) 安全是一個程序, 而不是一個產品。 -- Bruce Schneier
更何況, 比技術更重要的事, 是提升員工對公司的向心力以及尊重他人隱私的文化。 而 「採用軟體監控員工」 恰好會大大地破壞這兩者, 對於保護客戶個資的目標來說, 最終很可能得不償失。
CIO 如果還是堅持繼續延續過去 「一切問題用採購軟體搞定」 的錯誤心態, 主張採用 「監控員工以確保客戶隱私不外流」 的矛盾策略的話, 除了會產生上述員工將失去向心力、 可能會不顧情面依法強勢捍衛隱私 (尤其是離職員工)、 ... 等等問題之外, 還會遇到許多實作上的困擾。 企業內高階主管的電腦要不要接受監控? IT 部門員工的電腦要不要接受監控? 誰來確認這些人也受到監控? CIO 建議要把監控的業務委外給軟體廠商嗎? (如果我是老闆, 聽到這個建議, 就先開除 這個欠缺職業道德的 CIO 。) 如果不委外, 那麼誰才是最終握有監控紀錄檔密碼的企業內部 KGB 特務警察頭子? 當個資外洩時, 特務頭子是否永遠免責, 不會受到懷疑? 或者特務頭子永遠是第一個被懷疑的? IT 部門整天接受來自客戶及員工 「依據個資法第三條」 的查詢請求, 還能做其他的事嗎? 做這等煩鎖小事的, 顯然不是特務頭子。 那麼全公司的個資都握在這個年輕小子手上, 而他與其他員工彼此猜忌, 客戶個資會更安全嗎?
最後, 也要提醒各事業主管機關: 未來進行行政檢查時, 不要過度解釋 「安全維護措施」、 不要對監控軟體有不切實際的期待, 不要迫使企業以保護客戶隱私為名, 在員工電腦/平板/手機上安裝監控軟體, 實行侵犯員工隱私之實。 各事業主管機關 (Hi, 教育部!) 如果過度解釋, 迫使企業犧牲員工隱私, 恐怕不是造成 「企業大門, 民主止步」 (照原文直譯應該是 「工廠大門...」) 就是造成 「離職員工依據個資法控告企業主侵犯隱私」 的案件大增, 不論是何者, 對社會都不是好事, 也都違背了個資法的初衷。 只看法條, 不用 心 去感受法律的原始良善用意, 恐龍法官就是這麼產生的。 法律專業的他們, 這麼做也許還有一點藉口; 一般人自己如果也這麼做, 以後還好意思批評恐龍法官嗎?
從事業主管機關到企業內部上下, 請讓我們一起用 心 去感受法律的原始良善用意, 彼此 釋出誠意 以換得對方的信任和體諒, 一起建立 「尊重所有人 -- 客戶與員工 -- 隱私」 的文化, 一起處理導入保護個資作業流程當中所遇到的問題。
* * * * *
特別感謝上學期研究所在職專班 「網路公民素養」 課程的修課同學。 他們提供了這個重要的題目、 許多顧憂慮、 一些想法、 和很多連結, 才促成我完成這篇文章。
* * * * *