個資法與國際隱私管理標準、規範之分析與應用

10.29614/DRMM.201107.0002

黃小玲

個人資料保護法 ； ISO 27001 ； ISO 29100 ； OECD ； APEC ； NIST SP 800-122

資訊安全通訊

17卷3期（2011 / 07 / 01）

22 - 36

繁體中文

個人資料並非全新議題，但因為個人資料保護法的通過，許多個人資料蒐集者、擁有者或是管理階層，現在反而以迥然不同的態度看待個人資料，思考個人資料應如何保護才能符合法規的要求。國內個人資料保護的法令始自84年公布「電腦處理個人資料保護法」，但因為此法所適用之客體（經電腦處理之個人資料）與主體（公務機關與特定之八大行業）較為狹隘，個人資料保護的新紀元於新法通過後才算真正開始。相較於國內個資保護的成熟度，國際間已具備許多個資保護或是隱私的方法論與指引。藉由本文介紹國際間之個資相關標準、規範，並應用於組織，以剖繪個資保護之管理全貌。

1. http://www.iso27001certificates.com/
2. ISO 29100 Privacy Framework, Rannenberg, K. (WG5 Convener), Sténuit, C. (Co-editor 24760), Yamada, A. (Editor 24761), and A.S. Weiss (Editor 29100/29101) (2007) Working Group 5 Identity Management and Privacy Technologies Within ISO/IEC JTC 1/SC 27 –IT Security Techniques (Presentation), 30th September 2007.
3. Samuel D. Warren, Louis D. Brandeis, “The Right to Privacy”, Harvard Law Review, Vol. IV December 15, 1890, No. 5
4. Organization for Economic Cooperation and Development (OECD), OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 23rd September 1980.
5. 個人資料保護法,2010/5/26
6. CNS 27001 資訊技術－安全技術－資訊安全管理系統－要求事項, 2006。
7. Asia-Pacific Economic Cooperation=APEC(2005).APEC Privacy Framework.
8. National Institute of Standards and Technology=NIST(2010).Special Publication 800-122Special Publication 800-122,未出版