「盡責資料」的落實不只需要策略,更需要練習/樂施會盡責資料報告
文/Yi-Chia Chen
The Engine Room 是一個國際非營利組織,透過科技和數據加速擴大社會影響力。自 2011 年起,他們已經幫助全球超過 200 個大大小小的組織,包括國際特赦組織(Amnesty International)、樂施會(Oxfam)、公民參與世界聯盟(CIVICUS)等,利用科技進行一些策略及系統上的調整。 2015 年時,樂施會帶頭發起《盡責資料政策》(Responsible Data Policy),希望員工都能遵照規定妥善使用資料。2 年後, The Engine Room 特別訪談樂施會員工、檢視樂施會建立的盡責資料相關工具,並將結果製成了一份報告。
什麼是「盡責資料」?
「盡責資料」的「資料」包括問卷調查回覆、註冊資料、照片、故事等,而「盡責」指的是善待資料並尊重資料提供者的相關權益。若把「盡責資料」視為組織平常行事的大框架,將能同時確保資料搜集者對資料負責,並有效為資料提供者發聲。由於盡責資料的相關法規不斷增修,搜集資料的工具也日新月異,因此盡責資料的管理方法,例如搜集資料的時機與方式,都必須持續演進。
根據 The Engine Room 的報告,樂施會所有受訪員工都清楚「盡責資料」,也認為這個概念與樂施會的價值相合。員工們都認為,保護個人資料是一件重要的事。樂施會身為一個主張負責且透明的組織,應該尊重這些會受到影響的群體,在搜集他人資料時便告知資料提供者其資料將如何被使用,並賦予資料提供者權利決定資料的使用權。雖然盡責資料政策裡提到的很多概念都是大部分員工早就知道的事,但是因為有了這個政策,大家才真正開始在工作中落實。
不過,也有受訪員工指出,儘管大家大致遵照政策執行,還是有第一線員工不熟悉程序,甚至不知道為何應該保護他人的資料。受訪時,也有員工大方承認自己不太清楚這項政策之於樂施會的重要性,並認為這項政策沒有辦法完全應用在組織現有的框架之中。
重視資料儲存與分享,減少資料搜集
「我曾經在工作時遇過其他組織成員在沒有經過他人同意下便擅自拍照,再把那些照片拿來分享,甚至印下來當文宣。這些要是被他們發現,後果將不堪設想。所以我認為,事先告知對方資料會用在哪裡、怎麼被使用、會有哪些人會看到這些資料等,都是很好的作法。」其中一名受訪員工這麼說。
而減少資料搜集也是一項重要目標,尤其在政治情勢相對不穩定的地方,資料特別需要被好好保護。受訪員工舉例說明,「許多組織都會影印身分證,但在樂施會我們不這麼做,只會留下身分證字號。」另也有員工表示,資料儲存與分享也應該受到重視,可惜得到的相關知識並不多。
《盡責資料政策》如何於計畫中執行?
《盡責資料政策》慢慢改變了員工們對於資料搜集與管理的想法。一開始,大家並不知道將資料公開十分危險,更不知道原來保護資料這件事就掌握在每一位員工手中。
《盡責資料政策》給予員工相當的自主權,讓大家自行決定如何將政策在自己的田野計畫中實踐,這給了員工很大的空間,針對不同地方的政治氛圍,調整合適的資料保護方式;但這樣的模糊空間也對一些員工及顧問造成困擾,有位受訪員工就抱怨:「我就算細讀了政策內容,還是無法在字裡行間找到最重要的字句。」
對受訪員工來說,資料分享時,最令大家感到戰戰兢兢的時刻,莫過於與其他組織夥伴分享資料,「儘管對方總是說會小心處理資料,但我們並不會知道他真正的處置方式,我可以告訴他該怎麼使用資料,卻無法確保他真正執行的方式跟我說的一模一樣。」此外,受訪員工也認為資料刪除,甚至是和顧問們工作時的資料處理方式都還存在著不確定性。例如,《盡責資料政策》應該擴及到哪些範疇?什麼才是最合適的資料刪除方式?這些都沒有明確的規範。
The Engine Room 給樂施會的建議
1. 將盡責資料的概念列到〈行為準則〉之中
為確保每個樂施會員工都明白盡責資料的概念,應該把盡責資料明確列在〈行為準則〉裡面,如此一來新人在受訓時就能知道這項重要原則的存在。
2. 出版指導手冊,向大家簡要介紹盡責資料
要完全了解盡責資料,也必須要對其他相關議題有些基本認識,像資料搜集可能會連帶產生權力、偏見及歧視等問題。若有一本簡單的指導手冊,將有助於員工們在工作時自行做斷定。
3. 提供資深主管專門訓練
先訓練各部門資深主管,便能有效將盡責資料的概念深化到每個部門之中。這麽做也是在告訴大家:盡責資料真的是樂施會工作的重點。
4. 採取使用者中心設計
幾乎每位受訪員工都提到,希望可以提供更友善的資源,幫助他們在工作時,能更詳細執行盡責資料政策裡所描述的原則。而這更友善的資源所指的意思,其實就是要設計出以使用者為中心的一套資源,使員工能在落實相關策略時,更有所依據與參考。
5. 依照職位與需求,建立合宜的操作清單
有了這份清單,員工不僅能照著清單一項項執行,也更能確切知道自己的每項行動是否都有依照資料保護原則藿食,此外,清單也可以依照職位的不同及需求做變化。
6. 建立監督機制,確保政策有效實行
為使員工都確實在每項計畫中做到符合《盡責資料政策》的步驟,應該建立一套監督機制。
7. 建立地區應用守則
為幫助各地區員工做到盡責資料,應該視各地區情況建立不同的應用守則,確保各地區員工在資料保護上都符合組織規定且因地制宜。
利用「盡責資料」的生命週期,實踐資料安全措施
樂施會也另外製作了一份關於「盡責資料」的生命週期,希望能教導大家正確的資料使用方式及流程。而這個生命週期,總共分成 7 個階段。
1. 擬定計畫
首先,要訂出明確的資料搜集目的。預期效益應該與風險成比例,不能枉顧資料提供者的權益。在搜集資料前,也應該多加評估資料搜集方法與工具是否合宜。而資料的隱私保護更是不能少。尤其是資料提供者的個人資料,記得與資料提供者的答覆分開儲存,或是採用匿名方式確實保護他們的資料。最後也別忘了規畫如何與資料提供者說明資料搜集的意義與用途。
2. 進行風險評估
搜集資料有可能使人們陷入危險。因此,事前的風險評估相當重要。比較安全的做法是在資料搜集前,先詢問相關技術人員,確實了解每項風險,並規畫好資料外洩的因應措施。
3. 訓練資料搜集者與使用者
在訓練相關人員時,一定要涵蓋「盡責資料」的考量點、資料使用同意流程,並用現實情境模擬示範。
4. 取得資料提供者的完整同意
取得資料提供者的同意並不是只是讓他在欄位打勾就沒事。要確定他了解資料安全相關事項,包括資料使用方式、資料取得的目的、如何存放資料、將與哪些群體分享資料、如何確保這些資料取得群體不外洩手上的資料,以及終止資料使用的權利。最後還要詢問資料提供者在提供的資料被使用後,希望能得到哪些回饋。
5. 妥善管理資料
要妥善管理資料,必須注意資料傳輸、取得途徑、資料儲存、資料分享等 4 個部分。如果是使用電子設備傳輸資料,要確保有端對端的加密技術。為有效管理資料取得途徑,應該設立獨立的帳號及密碼,讓資料搜集人與使用者都負起各自的責任。
此外,無論是數位資料還是紙本資料,在儲存資料前,都要確定存放地點安全無疑。在資料搜集人同意與第 3 方分享資料後,也要與該第 3 方,如政府、其他非營利組織、私人公司等,簽訂資料分享同意之相關合約。
6. 讓資料效益最大化
可以是遊說、倡議或調整有關計畫。另外,也可以想想這份資料是否有考慮到性別平等,仔細檢視這份資料對於一些決策是否造成偏見誤判的情況。
7. 回饋資料提供者
在使用資料過後,除了應該給予資料提供者相關回饋外,也要向確認是否有誤會他們的任何意思。
8. 保留或毀棄資料
要記得規劃資料保存的期限,因為任何資料都有它的效期。而如果處理的是數位資料,更要確實檢查是否完整刪除該檔案。
「盡責資料」不只需要策略,更需要練習
樂施會認為,身處在資訊時代,管理資料是項巨大的挑戰。比起過去,現在有更多方式可以搜集、儲存、分享、傳輸、分析以及發表資料。
他們早在 4 年前就已經開始推行《盡責資料政策》,但他們也很清楚知道光有政策是不夠的,必須透過一次又一次的資料管理練習,才能慢慢改變組織文化、個人態度和行為。
原文「RESPONSIBLE DATA AT OXFAM」、「The Responsible Data Lifecycle: Infographic poster/leaflet」
延伸閱讀:
資安也是安全防護網的一環!日常生活中做好資訊安全管理,保障人權也保護弱勢