資料保護和隱私權概觀

  • 7 分鐘

商務和個人資料很重要。 未經授權地揭露 (或存取)、處理或使用個人或商務資料,可能會對個人和公司造成龐大損失。

不斷增加的資料量位於許多位置,例如裝置、組織的檔案伺服器和雲端儲存體服務。 資料也可以透過使用許多不同的裝置,從各種位置來存取。 資料洩漏、誤用和遺失的風險比以往更高。

對於公司和個人而言,重點在於了解資料保護的需求,並學習協助保護其資料的必要技能。 資料保護的重要性隨著建立和儲存的資料量與敏感度而增加。

資料保護和資料隱私權

資料保護涉及協助保護資料免於遭受非法或未經授權的存取、使用、解構、損毀或遺失。 資料隱私權著重於對個人資料的收集、使用和允許的處理,以及個人有哪些權限可控制其已被收集的相關資料。

資料保護通常涉及對資料的技術控制。 資料隱私權通常是指法律或法規需求。 資料保護無法確保資料隱私權,反之亦然。

資料保護

資料保護由有助於保護重要資訊免於損毀、洩漏或遺失的流程、程序和技術所組成。 請務必了解,單憑一項產品或技術,絕無法保證能夠保護資料。 相對地,您可能需要將可用的程序、技術和產品結合運用以保護資料。

若要規劃和實作資料保護措施,請考慮下列因素:

  • 資料類型的敏感度。 並非所有資料都需要相同的保護層級,或可受益於相同的資料保護方法。 例如,電子郵件地址之類的某些個人資料可能不需要與更具敏感性的資料 (例如社會安全號碼和健康資訊) 有相同的保護。

  • 儲存資料的位置。 適當的資料保護技術和方法,可能取決於資料的儲存位置。 例如,對於儲存在行動裝置上的資料,您可能會使用與儲存在公司檔案伺服器或雲端中資料不同的方法來提供保護。

  • 適用的資料保護需求和法規。 法律和法規可能會定義特定的資料保護需求。 請洽詢法務小組,以確保您已充分了解這些需求,及其套用至業務的情形。

  • 支援資料保護的技術。 沒有任何單一技術可確保在每個案例中完全保護資料。 請熟悉適合您特定需求的所有可用平台、程續序和技術。

沒有單一方法或技術可保證能提供資料保護。 不過,在設計資料保護策略時,下列主要準則很重要。

  • 在資料建立或收集時實作一些層級的資料保護,以在資料的整個生命週期內提供保護。

  • 請確定組織人員了解資料共用,並掌握其共用的資料、共用資料的對象,以及其共用方式。 控制資料存取和共用,是資料保護的重要環節。

  • 除了保護特定資料之外,請務必保護使用者身分識別、使用者用來存取資料的裝置,以及網路流量。

資料隱私權

資料隱私權通常處理如下的疑慮:

  • 哪些實體可以收集資料。
  • 哪些實體可以存取資料。
  • 組織可以使用他們收集的資料來執行哪些動作。
  • 組織可以保留資料的時間長度。
  • 個人對其資料具有何種控制層級。

隱私權法律和法規

各種法律會定義人員與公司的權限,以控制使用其資料的對象,並規範處理不同資料類型的需求。 許多國家/地區 (在某些情況下,還包括特定州) 皆已具備相關法律或法規,來處理個人資料的隱私權和保護。 下列單元提供關於這些隱私權法律的詳細資料。

一般而言,隱私權法律和法規會闡明組織 (在某些情況下還包括個人) 可如何收集、使用及儲存個人資料的法律架構。 在多數情況下,法律和法規不會定義或規定組織必須使用哪些特定技術來保護資料隱私權。 組織必須識別符合規範的技術、作業和其他適當的資料隱私權保護措施。

定義資料隱私權合規性

您的內部合規性架構應著重於資料存取、使用和保護的原則和程序。 您組織內部資料處理原則的設計,必須反映組織和所處理資料適用的法律和法規要求。

資料保護專員 (DPO) 必須根據其州/國家/地區的法律和法規及其組織的內部原則,充分了解資料處理需求。 然後,DPO 可以定義資料收集、儲存和保護的適當程序和技術。

Microsoft 提供合規性供應項目,以協助您的組織符合國家/地區和業界特定的資料收集和使用方式要求。 稍後的單元會說明這些供應項目。