Page 95 - 標檢局雙月刊195期
P. 95
廣 角 鏡 三、 整合性(資訊)安全管理系統控制措施初探 個人資料保護之隱私加強技術(Privacy Enhancing Technology, PET)係指不喪 失資訊與通信技術(Information and Communication, ICT)系統功能,藉由消除或減 低 或 藉由預 防 非必要 及 / 或不想 要 的個人 可 識別資 訊 (Personally Identifiable Information, PII)處理以保護隱私之ICT的所有方法、產品或服務。擬匿名、匿 名、非觀察資料管理(Unobservable data management)等是PET中PII處理最小化技 術常用之方法。 個人資料保護之ICT架構的建立,識別涉及處理PII之行動者(Actors)是重要 的,PII處理之行動者分成如後的4種型式: 1. PII當事人(Principal):與PII相關之自然人。 2. PII控制者(Controller):除自然人外為個人目的使用資料而決定處理PII之目的 或方法之隱私權相關者(或隱私權相關者們)。 3. PII處理者(Processor):代表並依照PII控制者指示處理PII之隱私權相關者。 4. 第三方(Third party):PII當事人以外的隱私權相關者,PII控制者與PII處理者, 以及經授權在PII控制者或PII處理者直接管轄下處理資料之自然人;一般而 言,一旦接收到討論中的PII,第三方將變成PII控制者。 ISO/IEC 29100:2011(E)第4.3節中,列舉如後之前述PII處理的行動者互動之 情境: 1. PII當事人提供PII給PII控制者(例如:當註冊由PII控制者提供之服務)。 2. PII控制者提供PII給代表該PII控制者處理該PII的PII處理者(例如:作為外包協 議之一部分)。 3. PII當事人提供PII給代表該PII控制者處理該PII的PII處理者。 4. PII控制者提供與該PII當事人有關之PII給PII當事人(例如:依據PII當事人作出 之要求)。 5. PII處理者提供PII給PII當事人(例如:在PII控制者指示下)。 6. PII處理者提供PII給PII控制者(例如:在已實作所指定之服務之後)。 7. PII控制者提供PII給第三方(例如:在商業協議的內容中)。 8. PII處理者提供PII給第三方(例如:在PII控制者指示下)。 ʕശ͏਷ɓ´ʞϋʞ˜ 195 ಂ 89
   90   91   92   93   94   95   96   97   98   99   100