Cybersecurity-各國政策促進國際大廠提升個資保護並帶動相關技術應用商機

TAcc+新創分析師 毛國光

「去識別化」與「端到端加密」技術之應用市場，正隨著各國政府與科技巨頭強化個人隱私維護規範而加速擴大，臺灣資安新創有望掌握相關商機。

• 加州消費者隱私法案對去識別化的患者訊息進行了規範，進一步增進「去識別化」成為剛性需求，已投入之台灣新創將同步獲益。 — 根據修訂後之法規，從2021年1月1日開始，任何一方當事人居住在加州或於該州開展業務取得之去識別化患者訊息，其銷售或許可合同都必須納入具體規定，包括禁止重新識別在內；企業若出售或披露不受法規約束的去識別化患者訊息，必須在其隱私政策中包含某些通知，且必須修改政策、做法和培訓計劃，以確保符合法規對去識別化患者訊息之規定。

• 隨著全球各行各業持續數位化，隱私數據保護的需求也逐漸成為剛性需求，帶動端到端加密技術的應用潛力大增。 — 端到端加密 (End-to-end encryption, E2EE) 技術指的是，當人們發送訊息給其他人時，從發送人端即將資訊進行加密，只有擁有解除密碼鑰匙的人才能於解除後看到原始資訊，在資訊傳遞的過程中，所有經手的設備或平台業者都無法查閱，藉此提升數位隱私的保護。

舉例來說，雖然目前人們普遍使用的iPhone、Mac、Android手機、Chromebook等資訊設備，或是使用各種雲端服務，諸如google日曆、Zoom視訊等，這些設備或雲端平台服務的提供商都會進行不同程度的數據加密，但對於數據的保護力也會產生差異，且為了避免用戶遺失或誤刪資訊，這些廠商往往也會備份這些資訊，以利必要時救援使用者，但也不可避免的產生資料外洩、被盜用、監守自盜、數據濫用等問題。

目前國際大廠已經導入端到端加密技術於產品或服務之中，如Apple iMessage、Signal、Telegram等，但大多仍會備份用戶原始資訊，不過也已經可看到市場朝向純粹的端到端加密發展，以此滿足人們進行私人對話或發送敏感訊息的需求，需注意的是，使用這類產品或服務時，使用者須自行保留加密密鑰，並且承擔密鑰丟失所造成的風險。

參考資料：

• “As of January 1, the California Consumer Privacy Act Regulates De-identified Patient Information: Prompt Action Required,” JDSUPRA, 2021.
• “What Is End-to-End Encryption, and Why Does It Matter?, ” How-to Geek, 2020.