由瑞竣科技協助經濟部水利署開發之「水文資訊申請網」,已於99年12月20日上線(可參考「水文資訊申請網」上線:提供線上申請、付費下載功能),但是透過網路申請或下載資料時,過程中可能必須遞交個人的隱私資料以達成目的,如需填寫姓名、地址、電話、Email等,網站管理端或資料庫內若未經過妥善的處理,資料將有可能被竊取並移作他用。針對個人資料外洩之疑慮,政府已於101年10月1日正式公告施行「個人資料保護法」(以下簡稱「個資法」),明確規範個人資料之蒐集、處理及利用等範疇,以及損害賠償之方式。
為了因應「個資法」之規定,「水文資訊申請網」亦需進行部分功能調整,將各項涉及記錄收集、顯示、管理個資的部分作必要的保全工作,目前已完成以下項目之更新:
| 1. | 首次使用的使用者在填寫帳號申請資料前,系統先聲明必須記錄的個人資料、使用限制與資料有效期限。(「個資法」第8、11、15條) |
| 2. | 個人資料區資料遮罩隱蔽(「個資法」第18條) |
| 3. | 購物完成帳單內含有個資部分進行必要的遮罩隱蔽(「個資法」第18條) |
| 4. | 儲存至水利署資料庫之個資,將做加密(「個資法」第18條) |
根據個資法第15條略以「公務機關對個人資料之蒐集或處理,應…經當事人書面同意…」,故在登入水文資訊申請網時,申請新帳號的使用者必須詳閱個人資料蒐集告知函之內容並同意後,方可申請帳號並登入系統。又依據「個資法」第8條,公務機關或非公務機關向當事人蒐集個人資料時,應明確告知當事人公務機關或非公務機關、蒐集之目的等資訊,以及「個資法」第11條略以「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料…」,個人資料資料蒐集告知函必須包含上述內容。
 |
另外,基於「個資法」第18條略以「公務機關保有個人資料檔案者,應…防止個人資料被竊取、竄改、毀損、滅失或洩漏」進行個資保密的部分。為避免使用者在申請水文資料時,填寫資料時留下個人資料造成外洩,使用者在申請帳號頁面時所填寫的資料在寫入資料庫前必須進行加密,當每次使用者登入系統時,頁面上都會先顯示使用者的基本資料以便確認,此時待確認的資料即是從資料庫中取得並解密後的結果。意即資料庫中關於個人資料的部分皆經過加密,可預防有心人士不法取得並移作他用。
 |
但僅在資料庫端的加密還不能完全保護使用者的隱私,為防止使用者端觀看網頁時個資被旁人得知,系統介面若有顯示個人資料的部分,都需進行資料遮罩(Data Masking),透過遮罩部分字元以降低資料之可識別性及敏感程度,例如將姓名王小華以王*華顯示。基本資料頁面僅列出足以讓使用者確認之資料,將部分內容以「*」字元取代。
|
瑞竣科技也在個資法公告後一年內,完成「水文資訊申請網」各項個資保護的具體措施,並已完成測試後上線運作。如果對更多水文資訊申請網或是個資保護作法有進一步瞭解的需求,歡迎連線至「水文資訊申請網」