資料隱私與安全最佳實務：如何保護調查問卷資料

資料隱私與安全是現代不可忽視的議題。大規模資料外洩事件經常出現在新聞頭條，不僅客戶資料處於風險之中，受害企業也必須承受高昂的後續成本，包括補救措施帶來的財務壓力，以及難以估量的名譽損失等等。

隨時保持警覺、堅持不懈地維護資料安全，應該要是您組織中每個成員的首要任務。您有必要竭盡所能防範駭客竊取客戶和組織的資料，包括調查問卷資料，同時也應該擬定應變計畫，在事故發生時將傷害降到最低。

任何資料都有外洩的危險，因此您一定要確保您收集到的調查問卷資料獲得周全的保護，沒有遭到竄改、攻擊或洩漏的疑慮，才能維持客戶對您的信任。

駭客的威脅是無止境的，資安專家經常打趣說：「駭客只需要成功一次，但資安專家卻連一次都不能失敗。」

做資安維護工作沒有冒險的本錢，但卻有既定的資料安全最佳實務可循，這些最佳實務不斷地在更新和改良，目的就在於控制現有風險並預測未知的新挑戰。如果您要做問卷調查，就應該確保問卷受訪者的隱私和資訊安全，並且嚴密遵守 HIPAA、GDPR 和 CCPA 等相關規範。

此外，您也必須記得，維護資料隱私不只是為了防範駭客而已。您對資料安全的重視，也是為了贏得客戶的信任。當您在進行問卷調查時，這份信任會轉化為較高的回覆率及受訪者更誠懇的意見分享，讓您獲得更可信又更有行動價值的資料。

延伸閱讀： 瞭解 SurveyMonkey 的資料收集與隱私最佳實務

遵循既定的隱私規範不但能保護資料安全，還能讓提供資訊給您的受訪者感到安心。也就是說，這麼做不只能保護您的公司和受訪者，還有助於提升調查問卷的完成率。

建議您在調查問卷的前言或在電子郵件邀請函中就說明您的隱私實務，甚至可以附上隱私權聲明的超連結。您還能運用跳過邏輯，在受訪者不同意您所訂之隱私權聲明或隱私實務時，取消其填寫資格。

資料隱私實務應該包含下列內容：

舉例來說，SurveyMonkey 的隱私權聲明就說明了我們如何處理您的資料。這部政策是在專家的指導下制訂的，以確保內容全面、透明，並採用最佳實務。知名資訊技術雜誌 Computerworld 在檢閱了我們的隱私權實務後，在評論中表示我們「獲得許可」將隱私權實務編撰成文，「明確在線上披露並展現決心」，而且我們採取的安全措施「與《財星》500 大企業相同」。

進一步瞭解 SurveyMonkey 如何處理您的資料

附帶同意書：同意書能讓您取得另一方的書面同意，確保對方瞭解活動的條款以及將會進行的事項。這麼做能確保受訪者清楚知道他們提供的資訊會如何被使用，進而也能保護您的公司。

刪除不需要的資料：囤積不需要的舊資料會增加外洩風險，因為長期沒使用可能會疏於保護。您最好制定清楚的準則來規範資料的保留期限，以及適當的資料刪除方式。

延伸閱讀：參閱 SurveyMonkey 的調查問卷建立者隱私實務來加強您的資訊安全措施

客戶或病患的敏感健康資訊都是私人資訊，而 HIPAA 就是制定來保護這類私人資訊的法律。

1996 年頒布的《健康保險流通與責任法案》(HIPAA) 是聯邦法律，目的在於建立一個全國性的標準，以保障病患的敏感健康資訊不在未經其同意或知曉的情況下洩露出去。

如果您的工作在任何層面上牽涉到醫療保健，您就必須遵守 HIPAA，否則可能會有面臨稽核、遭到罰款或失去客戶或病患信任的風險。簡單來說，如果您有經手任何受保護的健康資訊 (PHI)，您就必須遵循 HIPAA 的規定。

SurveyMonkey 有提供一些專為醫療照護行業設計的選項功能，包括符合 HIPAA 規範的帳戶到醫療照護調查問卷範本。

GDPR 是規範歐盟資料保護的法規，但無論您的公司位於何處，都必須注意這些規範。這是因為即使企業不是位於歐盟境內，GDPR 仍然有效。

《通用資料保護法規》(GDPR) 是針對歐盟 (EU) 及歐洲經濟區 (EEA) 之資料保護和隱私權所設之法規，但任何將個人資料傳輸到 EU 和 EEA 境外的行為都受到規範。

GDPR 的主要目的是讓資料當事人能夠掌控自己的個人資料，並藉由統一規範來簡化歐盟境內的法規環境，方便國際商務的進行。這部法規適用於任何企業，而且不論企業公司所在地或資料主體的公民身分或居住地，只要資料主體位於 EEA 境內，其個人資訊的處理就受到保障。

這部法規已成為 EU 境外許多地方立法的借鏡，2018 年生效的加州消費者隱私保護法 (CCPA) 就是一例。

《加州消費者隱私權法》(CCPA) 是適用於整個加州的資料隱私權法，規範世界各地企業可如何處理加州居民的個人資訊 (PI)。

CCPA 已於 2020 年 1 月 1 日正式實施，是美國第一部完整的個人資料保護法。

如果您有客戶或調查問卷受訪者居住於加州，您就受到這部法規的約束，應採取行動以確保您遵守規定。

CCPA 適用於全球每年銷售超過 50,000 名加州消費者的資訊、或年度總收益超過 2,500 萬美元、或銷售加州消費者個人資訊佔其年度收益超過 50% 的任何非營利企業。

此外，若一家企業與任何須遵守 CCPA 的企業共用品牌 (例如：共用名稱、服務商標或商標)，也將連帶受到 CCPA 的規範。

根據 CCPA 的規定，加州居民 (以下簡稱「消費者」) 有權拒絕讓自己的資料被販售給第三方，有權知道自己被收集了哪些資料，且有權要求企業刪除已收集的資料。

延伸閱讀：SurveyMonkey 的資料安全與法規遵循

誠然，做問卷調查的目的在於向目標受眾收集有用的數據和資訊。但是，您必須嚴謹確保整個過程都遵守資料隱私安全相關規定及準則，以避免違反規範或使問卷調查受訪者的個人資訊受到威脅。

當您打算收集資料時，應該考量幾個關鍵的安全問題，包括個人識別資訊的收集量、資料加密、匿名問卷調查和安全存取。 

做問卷調查時，最好盡可能減少個人識別資訊的收集量。簡單來說，您會希望避免收集可能會洩漏受訪者敏感個資的資訊，包括像身分證字號、電話號碼、電子郵件地址或住家地址。

您應該確保收集到的資料不會落入未經授權的第三方手中，而資料加密就是阻止這種事情發生的關鍵防線。

所謂的加密，就是將資料編碼成密文，以確保未經授權的人士無法理解或存取。加密能夠保護私人資訊和敏感資料，並且加強伺服器及用戶端應用程式之間的溝通安全。資料加密後，任何未經授權的人士即使能取得資料，也無法讀取其內容。

把資料加密，就是用加密演算法將明文或可讀的資料翻譯 (編碼) 成密文或不可讀的資料。只有使用相應的解密金鑰才能把密文回復成可讀的明文。

將調查問卷回覆設為匿名能提升資料隱私性，因為只要您不收集個人資訊，就沒有遭竊的危險。這麼做也能為您的組織降低風險。

採取匿名問卷調查的另一大潛在好處是回覆率會提升，受訪者的回答也會更坦率。讓受訪者保持匿名，能夠掃除他們常有的一些疑慮。舉例來說，假設您要對員工進行問卷調查，以匿名的形式進行會使員工更願意提供坦白而詳實的回覆，不用擔心遭到人資部門秋後算帳。  

SurveyMonkey 提供匿名回覆的收集器選項，讓您能選擇是否要追蹤並儲存可辨識受訪者身分的資訊。SurveyMonkey 會將受訪者 IP 位址儲存於後端記錄檔，並在 13 個月後刪除。

資料安全包含了許多面向的資料保護和安全維護行動，從密碼安全到問卷資料與調查結果的存取控制，以及舊資料的儲存及處置等等。

如果想要防範駭客竊取密碼，就不應該使用「password」來當作密碼，這應該要是基本常識了。

然而，研究發現，「password」在 2020 年最常用的密碼當中仍然高居第四名。你猜誰是冠軍？123456。超不安全。

密碼安全對於調查問卷資料的保護非常重要，使用者應盡可能選用特殊且不容易預測的密碼。市面上有許多密碼管理工具，能協助您輕鬆建立獨特密碼，而且不用自己想辦法把一大堆密碼記起來。雙重驗證也能提供多一層保護，防範駭客的攻擊。

如果您使用 SurveyMonkey，一定要謹慎選擇並保護您的密碼，因為這關乎到受訪者個人資訊的安全。我們建議您：

確保資料儲存系統的安全非常重要。最好的做法是使用安全的資料中心或中央檔案儲存系統，並確保實體儲存地點的可視性。 

若您使用 SurveyMonkey，您所有的受訪者資訊都會安全地儲存在我們通過 SOC 2 認證、嚴格遵守安全及技術最佳實務的資料中心。我們保證收集到的資料都是透過安全的 HTTPS 連線進行傳輸，且使用者的登入資訊都受到 TLS 憑證的保護。靜態資料是使用業界標準的加密演算法及強度進行加密。

當然，在許多情況下，您會想要將調查問卷資料與組織內部的同事及業務夥伴分享，不過您應該確保分享的過程是安全、沒有遭竊疑慮的，也不能容許未經授權的使用者檢視任何可能屬於受訪者敏感資料或個人資訊的內容。

提供安全存取是保護調查問卷資料很關鍵的一環。首先，您一定要避免將資料儲存在孤立的系統中，例如筆電、行動裝置，或其他可能被偷或資料遭竊風險很高的個人裝置。此外，分享登入憑證也可能使受訪者的調查問卷資料落入他人之手。舉例來說，假設您與某一位同事共用一個帳戶，當他離職了之後，還是可以存取該帳戶中的問卷調查回覆；他也可以把您的登入憑證提供給別人，讓別人有機會任意使用您帳戶中的資料。若要確保他人能夠看見您分享的調查問卷，同時有效且安全地協助檢閱回覆，您可採取以下兩種方式之一：

SSL (安全通訊端層) 是一種協定，會在兩台透過網路連線的電腦之間建立驗證和加密的連結，以提供多一層安全保障。

在網路伺服器安裝 SSL 後，就會啟動安全鎖和 https 協定，確保網路伺服器與瀏覽器之間的連線安全。SSL 通常是用來保護信用卡交易、資料傳輸和登入程序，不過近年來它也已成為保障社群媒體瀏覽安全的常用正規做法。

安全第一！

如果您想要讓問卷調查發揮最大功效，同時維持客戶對您的信任和互動，隱私和安全絕對是您的優先要務。SurveyMonkey 能提供關於安全性與法規遵循的重要資訊，協助您提升資料安全。

瞭解 SurveyMonkey 如何保護您的調查問卷資料，以及您能夠如何保障這些資料的安全。