【The Proof - 202001期】從產品設計之隱私保護看系統生命週期流程之隱私工程
專家作者 : 呂敏誠 Louis Lu / SGS CBE 產品經理
【The Proof - 202001期】
從產品設計之隱私保護看系統生命週期流程之隱私工程
早在2009年 Spiekermann 和 Cranor 在一篇探討隱私工程的論文中,將「從架構保護隱私」(privacy-by- architecture) 與「從政策保護隱私」(privacy-by-policy) 進行了對比。前者專注於個資最小化 (data minimization)、匿名化 (anonymization) 以及客戶端資料處理和存儲,而後者則側重於在個資處理中的執行政策。Gürses、Troncoso 和 Diaz 則指出,個資最小化應為工程化隱私尊重系統的基本原則。 2011年 Kung、Freytag 和 Kargl 又在關於智慧運輸系統中的隱私設計論文中定義了三個原則,即最小化,執行和透明。
2015年 Hansen、Jensen 和 Rost 更在一份有關隱私工程保護目標的論文中,確定了三個目標:不可連結性 (unlikability)、透明性 (transparency) 和可介入性 (intervenability)。接著在2014年及 2016年關於隱私設計策略的兩篇論文中,Hoepman 則確定了四種資料導向的策略:最小化 (minimize)、分離 (separate)、抽取 (abstract)、隱藏 (hide),以及四種流程導向的策略:告知 (inform)、控制 (control)、強制 (enforce)和展示 (demonstrate)。
LINDDUN隱私威脅分析方法論 及 軟體程式常見問題
全球性論文亦陸陸續續發表相關議題,例如 2011年 KU Leuven 定義了一個隱私威脅框架,該框架導致了 LINDDUN 方法論的發展。隱私正在成為當今電子社會中的關鍵議題。至關重要的是,如何盡快將隱私保護整合到資訊系統開發的生命週期當中。LINDDUN 是一種隱私威脅分析方法論,用以支持分析人員所提出的隱私保護要求,其中已經提出了許多用於隱私工程的概念、原理和方法。
近年來因產品或軟體系統設計的瑕疵,導致非經當事人同意洩露個人資料或隱私資訊的事件層出不窮,一般來說可概分為管理、技術與維運等三個層面的問題。例如智慧喇叭國際領導廠商運用數千名員工聽取智慧喇叭用戶和人工智慧 (AI)語音助理的對話紀錄,理由是為了訓練並提升其 AI 的服務品質;或是將智慧喇叭的側錄紀錄與委外廠商分享,以提升其產品的語音辨識正確性,種種作為引發了用戶對隱私被非法蒐集、處理與利用之疑慮,此等管理面的設計即與隱私保護原則相牴觸。又2018年5月即時通訊大廠在最新版APP更新後,系統將「隱私設定」之「外部應用程式存取」預設值,從「拒絕」更改為「一律允許」,強迫用戶開放隱私供存取,此乃涉及技術面與維運雙層的問題。
而軟體程式常見的問題大致上有幾種因素:語法錯誤 (syntax error)、執行錯誤 (run-time error)、邏輯錯誤 (logic error)、已知和未知漏洞 (vulnerability) 和弱點 (weakness)。統計研究發現,軟體系統臭蟲 (bug) 的修正成本在需求階段發現並處理的成本,與在部署 (deploy) 後才發現並處理掉的成本差了30倍。在開發階段差6倍,在系統整合測試 (SIT, System integration testing) 階段差3倍,在使用者驗收測試 (UAT, User Acceptance Testing) 階段又差了2倍。
「從設計著手保護隱私」七大原則
2018年5月25日歐盟公告GDPR (General Data Protection Regulation),歐盟地區的一般資料保護規範開始強制生效,只要您的產品或服務的使用者是歐盟居民,就必須遵守相關規範。GDPR 也首次將資料保護設計列為資料控管及處理者 (Data Controller 和 Data Processor)的法定義務,明確提到產品和服務必須加入資料最小化和可使用擬匿名化等設計。產品設計方向則應考量「從設計著手保護隱私」七大原則:
一、化被動為主動、防患於未然、非事後亡羊補牢 (Proactive not Reactive; Preventative not Remedial)
二、使隱私成為預設機制 (Privacy as the Default Setting)
三、於設計中置入隱私 (Privacy Embedded into Design)
四、完整的功能:正和而非零和 (Full Functionality - Positive-Sum, not Zero-Sum)
五、從頭至尾的安全:保護涵蓋整個資料生命週期 (End-to-End Security - Full Lifecycle Protection)
六、能見度與透明度:保持開放性 (Visibility and Transparency - Keep it Open)
七、尊重用戶隱私:確保以用戶為中心 (Respect for User Privacy - Keep it User-Centric)
另與歐盟通用資料保護規範 (GDPR) 第25條要求相關之 ISO 標準為:
♦ ISO/IEC TR 27550 「從設計著手保護隱私」;
♦ ISO/IEC 27001「資安管理驗證要求」;
♦ ISO/IEC 27002「資安管理實作指引」;
♦ ISO/IEC 20000-1「服務管理系統驗證要求」;
♦ ISO/IE 20000-2「服務管理系統實作指引」;
♦ ISO/IEC 29134「隱私衝擊評估指引」;
♦ ISO/IEC/IEEE 15288 「系統生命週期流程」;
要設計一個符合 Privacy-by-Design(以下簡稱PbD) 或 Privacy-by-Default 的產品,首先應建立產品的資料流程圖 (DFD, Data Flow Diagram),DFD圖的精神就在於資料流程的規劃、各處理單元的動作、並且可以作更深一步的切分。主要使用四種類型的圖示對系統進行結構化的圖形表示:儲存體 (entity), 資料儲存所 (data store), 資料流 (data flow) 及轉換程序 (process)。每個 DFD 元素類型都與許多隱私威脅類別相關聯(已識別出七種隱私高度威脅的類別:可連接性、可識別性、不可否認性、鑑別性、資訊揭露、內容不了解,以及未遵循政策和許可)。為了確定隱私威脅適用於系統的分析,必須檢驗每個 DFD 圖示相應類別的威脅。
LINDDUN 方法論通過威脅樹 (threat trees) 來幫助分析人員,威脅樹描述了威脅類型和 DFD 類型的每種可能組合的最常見攻擊路徑。基於這些威脅樹,分析人員將使用各種誤用案例情境,記錄已識別的威脅,以詳細描述可能的攻擊手法。然後需要根據威脅的風險對威脅進行優先級排序。然後可以將引起的威脅轉換為隱私安全要求。LINDDUN 方法論是一種威脅建模技術,鼓勵分析人員運用系統方式考慮隱私安全問題。
系統生命週期流程之隱私工程
ISO (國際標準化組織) 於 2019 年 9 月正式發佈 ISO/IEC TR 27550 「系統生命週期流程之隱私工程」,提供了隱私工程準則,旨在幫助組織將隱私工程的最新進展整合到系統生命週期流程中。隱私工程涉及在 ICT (資通訊) 系統從搖籃到墳墓的整個生命週期中將隱私問題納入考量,確保隱私一直是並且仍然是其功能的一部分。
「從設計著手保護隱私」(PbD) 是為涉及個資 (PII) 活動的產品、服務或管理系統中建構起隱私保護的第一道防線。適用於資料控制者 (Data Controller)和資料處理者 (Data Processor),在處理對當事人之權利及自由所生之諸多可能且嚴重的風險,不論是在決定處理方式時或是在處理中,資料控制者宜遵循歐盟通用資料保護條例 第25條 the principles of data protection by design and by default 之要求,實施適當之技術及組織措施(technical and organizational measures),例如:擬匿名化 (pseudonymization) (註一),且該等措施旨在實現資料保護原則 (如資料最小化原則),並採取有效方式從設計著手保護隱私,且將必要保護措施納入處理程式,以符合要求並保護個資當事人之權利。
(註一):擬匿名化/去連結化(Pseudonymisation):依據 GDPR 中定義,是指處理個人資料之方式,使該個人資料在不使用額外資訊時,不再能夠識別出特定之個資當事人,且該額外資料已被分開存放,並以技術及組織措施確保該個人資料無法或無可識別出當事人。