以往個人資料因為各方經手處理的業者，作法不夠審慎，而使得這些資料一不小心就暴露在外，當有心人士蒐集、處理、利用後，又導致我們在日常生活中受到不必要的打擾。例如收到廣告信、促銷產品或服務的簡訊或電話，甚至被詐騙集團欺騙，而使得存款或銀行帳號被盜用，這些事件時有所聞。

也因此，這幾年來，許多企業在一些資料的處理方式上，已經有所限縮。例如，在交易過程中，對於一些能識別個人身分資訊的呈現上，如銀行帳號、電話號碼，開始在紙本帳單或交易明細記錄上，將原本完整的帳號或聯絡資訊加上一些字元來遮蔽，例如電話號碼2562-2880會變成25*2-*8*0，因此有心人士若要從帳單收集這些資料來運用，對於每一筆經過遮蔽處理的個資，他們勢必都要再花一番功夫復原後，才能繼續原本的隱私侵害行為。而這樣的作法，就是資料遮罩（Data Masking）。

從維基百科的定義來看，所謂的資料遮罩是在資料儲存區裡面，將特定資料遮蔽起來的一種處理方式，目的是為了確保敏感資料能夠被看似逼真的資料所取代。

過去，這種方式通常應用在非線上（non-production）環境，例如將實際線上作業環境的資料複製起來，以便作為系統測試或開發之用，而經過資料遮罩後，就可以避免敏感資料暴露在這些作業的過程中，降低資料外洩風險。

然而，即便個資法已經施行，臺灣企業資料遮罩應用的比例仍舊很低。根據iThome個資法大調查結果，只有不到兩成企業表示已經或預計採用，相較之下，大部分公司行號較熟悉的安全防護措施，仍然是資料備份、加密、稽核等作法。

用資料遮罩降低個資防護責任

過去施行的電腦處理個人資料保護法，適用對象原本只有公務機關、非公務機關的八大行業（徵信、醫院、學校、電信、金融、證券、保險及大眾傳播），以及指定適用的行業。

到了今年開始施行的新版個人資料保護法，則不再局限在電腦處理，並且擴大至所有的機關團體，因此公務機關，以及自然人、法人及其他團體的非公務機關，都在適用範圍內。這項法令推動的主要的目的，在第一條即揭櫫了要旨：「為了規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定此法。」

面對個資法的實施，許多機關及企業紛紛開始執行個資的清查盤點與風險評鑑的工作，並且參考個資法施行細則第十二條下所列出的十一項安全維護措施，來徹底檢視與補強自身的個資安控能力。

然而，一般企業對於個資的處理上，過去並沒有考慮到法規需求，因此為了滿足客戶的需求，以及自身的作業便利等考量，本身對於個資揭露與保管多半不加以嚴格設限，缺乏精細的存取管控，因此經手相關業務流程的內部人員，以及能接觸這些資料的IT人員，一不小心都有可能成為外洩資料的根源。

為此，企業必須更徹底地落實個資防護相關的權責畫分，並且對於使用者存取資料的行為需要做好稽核記錄，同時搭配加密的機制，讓自身對於個資管控能力提升至不會受到個資法處罰的地步（個資法第二十九條規定，非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限）。

在企業裡面，首先要把目前所持有的個資找出來，而其中可能具有個資內容的資料儲存形式，包括電子化的資料，如檔案、資料庫，以及紙本型態的書面資料。不過，在這些資料的內容中，我們必須要了解到並非全部內容都必須做到保護——只需要針對涉及隱私的資料，而不需要針對可公開的資料。而這也是個資盤點後，接下來的風險評鑑所要去區分的。

而哪些資料是屬於企業所要保護的個資範圍？個資法第二條定義如下：「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務狀況、社會活動及其他得以直接或間接方式識別該個人之資料」。

那麼，個資法這些規定與資料遮罩的關係是什麼呢？安資捷公司的資安技術顧問陳勇君表示，個資如果不露白，相關的訴訟就不會產生。

他列出了下列公式來說明：

犯罪事實 × 損害因果 ＝ 侵害當事人權益

損害因果 ＝原告的識別類個資 × 被告的行為類個資

其中，犯罪事實是指不當揭露個資，而侵害當事人權益則意味著訴訟成立，識別類個資主要是個資法所定義的用戶個資，而行為類個資是指企業對於這筆交易行為所配置的序號。而資料遮罩的目的，就是讓原告識別類個資的因素不成立，侵害當事人權益也隨之不成立。

之所以應用資料遮罩，另一個主要目的，是讓企業能夠防範平時接觸這些資料的系統管理者或特權使用者，使其只能存取到有限的資料內容。或許你覺得，這種說法有點將上述的人員當成潛在的資料外洩者，但陳勇君認為，資料遮罩反而是讓接觸這些資料的IT人員或特權使用者，能夠藉此除罪、降責，他說，機敏看到越少，保護責任也越小，就像金庫的鑰匙，很多人並不想保管，因為責任重大，這些IT人員或特權使用者若因為職務的關係，被授權可看到沒經過遮罩的資料，這跟保管金庫鑰匙一樣，需負很大的責任，而且一旦發生資料外洩事件，這些當事人也脫不了干係，必須花很大力氣證明自己清白。

個資法對於個資去識別化的要求

在新版個資法中，對於個資去識別化的應用也有相關的描述。

首先是告知的部份。在第九條中提到，公務機關或非公務機關依規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及五種相關事項，但有五種情形是不需要告知，其中第四種情況就是和個資去識別化有關。

「基於公共利益為統計或學術研究之目的而有必要，且該資料需經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。」

其次是公務機關和非公務機關對於個資的蒐集、處理的目的，以及利用，也有相關的規定。例如個資法第十六條、第十九條、第二十條，都有和上述很類似的要求。

此外，在個資法的施行細則的第十七條，則對上述法條的「無從識別特定當事人」的作法，提出進一步說明。「個人資料以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人」。

而這裡所謂的「無從識別」，可以透過資料遮罩技術來做到去識別（De-Identification），目前相關產品能達到的效果有很多種。例如：將真實姓名取代成其他字元，像是李宗翰會變成*****，達到匿名效果；或者我們常在某些案例宣導時，看到將當事人姓名中的一個字替換成符號，像是李宗翰會變成李○翰；有時，是將資料原本內容的順序加以重新排列，像是將身分證字號E156565028改為E155028656。整體來說，資料遮罩技術裡面，可供套用的方法相當多。

資料遮罩與現行其他資料防護技術的差異

目前，資料遮罩技術主要是針對結構化的資料型態，尤其是資料庫，但這種作法相較於現有的各種資料庫安全防護措施，例如稽核、身分存取控管、弱點評估、監控、加密，有什麼不同？

資料遮罩 vs. 資料庫稽核

一般的資安稽核技術，主要用於精確記錄資料流動與改變的過程。例如當有人存取或變更資料時，稽核技術會保留並記錄相關狀況，以便提供事件發生的證據。相較之下，單靠資料遮罩，並無法掌握資料的動向或存取的資訊，但這種作法的長處在於，去除或遮蔽原本資料所含的敏感內容。

資料遮罩 vs. 存取控管

存取控管的主要目的，是確保只有被授權的人，才能檢視或變更敏感資料。這種機制固然可保護線上環境中的敏感資料，但要在非線上環境中徹底落實，可能性不大。原因在於，應用程式開發者與測試人員往往對資料需要具備完整的存取權限。相較之下，資料庫中的資料若能經過遮罩後，再呈現出來，不論是一般使用者或特權使用者，當他們在存取資料時，因為所看到的內容都是經過遮蔽，即便擅自外洩，也必須要花很大功夫還原，而這也是為何資料遮罩能扮演重要角色的原因。

資料遮罩 vs. 資料庫加密

這兩種作法之間有一些相似處，都可以基於加密金鑰，來保護私密資料，但用途、技術與部署策略上仍有不同。例如在加密應用中，使用者拿到金鑰、輸入密碼後，可以解除加密，而在資料遮罩中，一般使用者並不能解除被遮罩的效果。

此外，加密技術的施行重點，在於防護資料免於受到來自外在環境的攻擊與資料外洩行為。而資料遮罩的應用目的，則主要針對防護內部使用者的濫用，範圍能涵蓋到特權使用者，同時，不需要管理加密金鑰，因為能否將遮罩資料反轉回原來形式，並非這種作法所要訴求的。

文章來源: http://www.ithome.com.tw/tech/87443

圖片來源:https://pixabay.com/

#資料遮罩 #data masking #敏感資料 #資料庫稽核 #DATABASESECURITY