有80%的BYOD使用者對企業(yè)雇主存取其私有設(shè)備上的個人資料感到疑慮，擔(dān)心他們自己所在的位置、使用的App、網(wǎng)頁瀏覽記錄和下載的信息受到不當(dāng)揭露。

愈來愈多的企業(yè)允許員工攜帶自有的移動設(shè)備(BYOD)上班，并且使用在日常工作之中，一旦這些移動設(shè)備離開了企業(yè)環(huán)境，企業(yè)要如何管控移動設(shè)備上所儲存的大量商業(yè)數(shù)據(jù)，實施有效的安全管理，同時也要避免侵害員工的隱私？
BYOD2 BYOD安全與員工隱私 企業(yè)如何才能兩者兼顧？ 移動安全 BYOD安全 BYOD

隨著Apple iOS、Android及Windows手機與平板計算機的銷售如雨后春筍般成長，其中有一項營銷的策略在于廠商讓消費者明白了，購買這些移動設(shè)備不只可以作為生活中的娛樂之用，更可以同時使用于工作之中，創(chuàng)造了使用者在購買時一次滿足的強烈欲望。

企業(yè)愿意讓員工BYOD并成為工作中的一項工具，主要就是希望透過這些移動設(shè)備的協(xié)助，能夠增加更多的工作效率，并且有機會拓展更多業(yè)務(wù)，而藉由員工自備移動設(shè)備，也可以讓企業(yè)降低硬件采購與更新的成本。

另外，使用移動設(shè)備的好處是，員工即使離開了工作場所，還是可以在往返公司的途中來存取工作資料，或是在出差時利用它來收發(fā)個人電子郵件或瀏覽網(wǎng)頁之用，同時兼顧并保有生活與工作上的多重用途。

移動設(shè)備的安全與隱私風(fēng)險

但是，無論是由公司添購或是私人擁有的移動設(shè)備，只要是會將它連接至公司網(wǎng)絡(luò)，就必須依照公司的資安政策，進行身分驗證，然后賦予適當(dāng)?shù)臋?quán)限，以便降低信息安全的風(fēng)險。

一般而言，移動設(shè)備可能造成數(shù)據(jù)外泄的原因，包括遺失設(shè)備、感染惡意軟件、未經(jīng)授權(quán)的不當(dāng)泄露等。

目前在企業(yè)內(nèi)可使用的移動設(shè)備，大致有以下兩種情況，第一種是由公司所配發(fā)的設(shè)備，所以公司有權(quán)可以主動進行適當(dāng)?shù)墓芸亍Ａ硪环N則是個人擁有的移動設(shè)備，對用戶而言，這些移動設(shè)備是自己購買的，在使用時不必受到公司信息部門的管轄，也可以拒絕受到不必要的安全管控。

目前，大多數(shù)企業(yè)只站在安全管理的角度來進行控管，而忽略了可能會有侵犯個人隱私的情況，舉例來說，如果發(fā)生疑似數(shù)據(jù)外泄的事件，企業(yè)可能會要求員工必須交出其使用的移動設(shè)備，以便檢查其中所存取的公司文件、瀏覽記錄與所儲存的數(shù)據(jù)等，撇開由私人所購買的設(shè)備不看，即便移動設(shè)備是由企業(yè)所提供，但是大多數(shù)的使用者，仍可能會將它使用在私人用途上，像是瀏覽網(wǎng)站、使用Facebook等社群媒體、下載音樂、影片、應(yīng)用程序和游戲等，這些仍是與個人隱私有關(guān)的信息。

BYOD可能造成的隱私問題

根據(jù)美國的一項調(diào)查指出，實行BYOD的使用者有80%對于企業(yè)雇主存取其私有設(shè)備上的個人資料感到疑慮，擔(dān)心他們自己所在的位置、使用的App、網(wǎng)頁瀏覽記錄和下載的信息受到不當(dāng)揭露。

站在企業(yè)信息安全的角度而言，進行安全管控以降低風(fēng)險當(dāng)然有其必要性，但卻不能以此就作為犧性員工個人隱私的充分理由。而員工興高采烈地帶著自己的移動設(shè)備，在加入公司的BYOD行列之前，也要想想可能會對自己造成什么影響。
根據(jù)云端安全聯(lián)盟(CSA)所提出的移動設(shè)備安全指南，提到員工在使用公司所提供的BYOD方案時，應(yīng)該要先了解以下幾個問題：

■ 公司是否會讀取移動設(shè)備上我的個人資料？

■ 若需要進行法律相關(guān)調(diào)查時，對我的移動設(shè)備會造成什么影響？

■ 如果我的移動設(shè)備遺失了，將會發(fā)生什么事？

■ 在遺失移動設(shè)備時，是否可以要求進行完整的資料清除？

■ 當(dāng)我采取了BYOD方案，但是在離開公司之后，將會發(fā)生什么事？

至于針對企業(yè)在建立BYOD的政策時，也需要考慮以下的事項：

■ 在什么情況下，企業(yè)需要取得移動設(shè)備的所有權(quán)？

■ 在什么情況下，移動設(shè)備的數(shù)據(jù)會被清除？這需要考慮當(dāng)?shù)氐姆珊头ㄒ?guī)。

■監(jiān)控員工的數(shù)據(jù)與行為，應(yīng)該合乎員工所面臨風(fēng)險的比例原則，尤其特別需要考慮所儲存的位置信息。

■ 可授權(quán)進行監(jiān)控員工的管理人員，應(yīng)該要被清楚地識別出來并了解其責(zé)任。

■ 所有的監(jiān)控在實施時，應(yīng)盡可能地將侵犯行為控制在最小的范圍，并且只獲取最小量的員工數(shù)據(jù)。

■了解在某些案例中可能也會牽涉到非企業(yè)的員工，例如員工的家屬可能也會使用員工的移動設(shè)備。

■ 移動設(shè)備的數(shù)據(jù)清除，應(yīng)只限于公司的數(shù)據(jù)。

保障移動設(shè)備安全與隱私的做法

為了因應(yīng)BYOD的需求，同時兼顧企業(yè)信息安全的管理，由廠商所提出的第一代移動設(shè)備管理方案MDM(Mobile Device Management)，很快地就受到企業(yè)的歡迎。MDM方案主要是針對移動設(shè)備本身的安全管理，提供了設(shè)備監(jiān)控、遠程鎖定、網(wǎng)頁過濾、禁用相機等功能，但相對地也比較難以區(qū)隔在使用方面的個人隱私要求。

為了要同時兼顧工作與個人使用方面的需求，后續(xù)推出的應(yīng)用程序管理MAM(Mobile Application Management)方案，讓存取企業(yè)數(shù)據(jù)的環(huán)境與個人在手機上所使用的行為能有所區(qū)隔。

MAM透過建立虛擬的企業(yè)工作區(qū)域，讓用戶自帶的移動設(shè)備可以達成公私兩用的彈性做法，對企業(yè)來說，獨立的工作區(qū)域也可降低數(shù)據(jù)外泄的風(fēng)險，但是在隱私方面，雖然可以做到應(yīng)用程序上的數(shù)據(jù)區(qū)隔，卻也仍然無法避免企業(yè)仍可保有追蹤用戶的位置信息。

對企業(yè)來說，能夠保障個人隱私的作法有哪些？以下是有關(guān)實施時的參考建議。

1. 避免不當(dāng)?shù)奈恢米粉櫍浩髽I(yè)導(dǎo)入移動設(shè)備管理方案 的好處，就是可以實時追蹤移動設(shè)備的所在位置，以便可以隨時啟動遠程鎖定、遠程警示和數(shù)據(jù)刪除等功能，除了GPS之外，當(dāng)使用者處于建筑物內(nèi)部時，也可以透過所接入的無線網(wǎng)絡(luò)或3G網(wǎng)絡(luò)來偵測出所在的地點，換句話說，企業(yè)的信息部門有能力隨時掌握使用者的行蹤，因此企業(yè)需要明訂在什么情況之下，基于何種理由和目的，公司可以啟動追蹤功能，并且是否要預(yù)先獲得使用者的同意。

2. 避免個人資料的遺失：一旦企業(yè)需要啟用遠程變更 密碼、強制鎖定和刪除時，請先確認會由誰來負責(zé)進行授權(quán)，并且將會如何進行。如果設(shè)定了自動刪除功能，那么是否僅僅會刪除企業(yè)相關(guān)的數(shù)據(jù)和應(yīng)用程序？是否也提供了復(fù)原設(shè)備數(shù)據(jù)的功能？

3. 妥善管理聯(lián)機信息：除了所在的地點和位置信息之 外，一旦使用私有的移動設(shè)備鏈接了企業(yè)網(wǎng)絡(luò)，相關(guān)的網(wǎng)絡(luò)活動也有可能受到企業(yè)的過濾與監(jiān)控，在使用者離職之后，這些涉及個人活動有關(guān)的資料，請確認是否還會繼續(xù)保留？

4.避免不當(dāng)?shù)碾[私審查：如果涉及相關(guān)的法律事 件，企業(yè)是否需要審查用戶自帶的移動設(shè)備，內(nèi)容將會包括了這臺設(shè)備上的網(wǎng)頁瀏覽紀(jì)錄、下載數(shù)據(jù)、歌曲、影片、電子郵件內(nèi)容、聯(lián)絡(luò)人、社群媒體的活動、通話紀(jì)錄，甚至是所存放與家人有關(guān)的信息，這些都有可能會被揭露，請評估可能的沖擊與結(jié)果。

5. 厘清應(yīng)用程序的安裝限制：針對移動設(shè)備的惡意 程序愈來愈多，企業(yè)為了降低安全風(fēng)險，可能會限制員工在移動設(shè)備上任意安裝App，但若是員工私有的移動設(shè)備，員工仍然保有權(quán)力可以自己安裝軟件，因此這一部分就需要企業(yè)事先與使用者進行溝通，明訂應(yīng)用程序的安裝要求。

6. 制定使用政策并實施教育訓(xùn)練：透過政策明訂的內(nèi) 容，向員工說明以便取得其同意來實施某些安全做法。例如啟用遠程刪除功能、數(shù)據(jù)加密等，會是比較容易獲得員工尊重與信賴的做法。

最后，建議企業(yè)在移動設(shè)備的安全管理方面，盡量以勸導(dǎo)、訓(xùn)練和警示，代替全面監(jiān)控員工的做法，換句話說，請千萬不要假安全之名而行侵犯隱私之實，因為在移動設(shè)備中的個人資料，同樣也受到個人信息保護法的保障，若企業(yè)因此而違法的話，到最后肯定得不償失。