探討使用Google表單蒐集個資之迷思

學校不准使用Google表單收集個資??
淺談個資法第18條、第27條,何謂適當之安全措施及實行方法?


今年上半年台南市教育局因應補教狼師事件進行名單清查,台南市教育局認為必須盡速清查是否有不適任教師,使用Google表單要求所管補習班業者回報教師姓名、聯絡方式等相關個資,有補教業者擔心使用Google表單蒐集個資會造成個資外洩,不願意填寫。

以前述新聞事件之疑慮為例,是否可以Google表單蒐集個資,還是必須檢視我國個資法之規定,要蒐集個資除本人同意以外,還必須採取適當安全措施。

所謂適當安全維護措施,請參考個資法施行細則第12條,其中跟本篇有關的如下表所列左欄的第三款、第五款、第八款和第十款,而這幾款應注意的重點若以此事件所關注的Google雲端服務來說,則如右欄所列:

相關條款
應注意的重點
設備安全管理1
Google的伺服器及傳輸安全以及我自己的電腦夠安全嗎?
使用紀錄、軌跡資料及證據保存2
我有沒有忘記我的Google表單?我的Google表單現在是什麼狀態?誰來提醒我?
個人資料蒐集、處理及利用之內部管理程序3
我今天使用雲端服務蒐集個資時有沒有設定錯誤、開放使用權給不特定的所有人?
個人資料之風險評估及管理機制4
我今天收集的個資適合使用雲端服務嗎?

註1:個資施行法細則第12條第2項第8款
註2:個資施行法細則第12條第2項第10款
註3:個資施行法細則第12條第2項第5款
註4:個資施行法細則第12條第2項第3款



設備安全管理


以Google表單來蒐集個資,本質上就是以前端網頁程式蒐集個資,並將資料傳輸到後端伺服器儲存,應考慮前端傳輸至後端之安全性,及後端伺服器安全與否。

以本次新聞事件為例,如果您今天打算自行開發一個系統來蒐集個資,一方面您要評估您的系統安全是不是更勝Google,另一方面如果Google的安全性真的堪慮,也不能以時間、人員有限為理由選擇Google。我們在此不從技術面去探討Google的安全程度,但我們在Google的服務條款隱私權政策中可以看到:Google有承諾維護設備安全、並使用進行加密,並且也聲明保密義務,若是Google有遵照它的承諾,其提供的服務可能會比您在有限的經費下所架設的伺服器還要更安全。
 
使用Google表單蒐集個資時,您可以注意到在網址列呈現其通訊協定是採用HTTPS,表示它所有的資料都是經過加密再進行傳輸的。但若是自行架設伺服器,以網頁程式蒐集個資,您的開發人員真的懂如何在伺服器端安裝憑證,並啟動HTTPS通訊協定,達到同樣程度的加密傳輸嗎?



個人資料蒐集、處理及利用之內部管理程序


您用Google表單蒐集的資料會保存在Google的雲端硬碟上,雲端硬碟上的檔案跟資料夾預設僅限特定使用者存取,若無進行任何與他人共用之設定,就只有您自己可以存取。

所以當您需要跟人共同作業,有必要共用檔案時,您可以邀請特定對象、列為共同使用者。絕對不要公開共用檔案,此設定將使網路上任何人皆可以搜尋到您的檔案。


當您謹慎的管理您的檔案存取權限,並落實不任意分享檔案連結,即為符合內部管理程序上應維持之適當安全維護義務。



使用紀錄、軌跡資料及證據保存


Google表單不是您自己所有的伺服器,一般使用上您無法直接從伺服器中提取出使用紀錄,難以保存使用證據、軌跡資料等。但是我們在另一篇文章有提出一個解決方案,就是利用程式每天自動檢查您的google表單狀況並寄發信件給您,將信件保留起來當作紀錄。您可以看到您的表單狀態是限制存取或是公開,有無其他共用者。

如果您是屬於公務機關,單位有設立個資窗口,在採用我們提供的解決方案時,建議您應設定將每日的定期提醒記錄信件同時傳送給您的個資窗口。(這部分之考量係基於個資法施行細則第25條,公務機關相較於非公務機關需指派專人負責個資的維護及管理,該員需有管理及維護個人資料檔案之能力。)

公務機關若將蒐集個資的業務委託給外包廠商,也應要求外包廠商每天自動寄送記錄信件給單位之個資窗口。(這部分係根據個資法第四條,若是有委託廠商蒐集、處理或利用個資者,視同委託單位,也就是公務機關的外包廠商需同負相當於公務機關之保護責任。)



個人資料之風險評估及管理機制


依據個資施行法細則第12條第2項第3款,您必須對您蒐集處理利用之個資進行風險評估,若您今天選擇的蒐集工具為Google雲端服務,自須審慎評估個人資料的風險。儘管Google服務相對上有其安全性,但畢竟Google表單非您自己可以管理之伺服器,如果需要利用Google蒐集個資,最好是蒐集敏感性較低,以達成進行個資風險評估之義務。比如說一般報名時常見需填寫手機號碼,但是如果您可以用Email聯絡的話,並無必要填寫手機號碼,會額外增加您保管的風險



結語


最後必須提醒您,個資法並不是禁止蒐集使用個資,無論您今天選擇使用什麼工具,重點都是注意您蒐集之個資是否是必要、敏感性、工具平台之安全性、有盡到應盡注意義務。前面的文章當中我們分析了如何達成適當安全維護措施之應盡義務,除了解釋Google已有的措施以外,我們也提供另一個可以達成記錄要求的解決方案。

個資法第一條開頭就說明:為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。只要遵守個資法上的要求,您還是可以在合理範圍內蒐集、運用個資。



技術提供:Blogger.