隱私設計：從一開始就保護敏感資料

某天，一位 HR 同事把員工資料表的分享連結貼到公司群組裡，想讓大家確認自己的部門資訊。問題是——那份表裡還有薪資欄位和身分證號碼。

等她發現時，連結已經被點開了 47 次。

這不是虛構的故事。在試算表的世界裡，資料外洩往往不是因為駭客入侵，而是因為設計時沒有考慮隱私。

為什麼隱私很重要？

敏感資料外洩的後果是真實且嚴重的：

• 薪資外洩：員工之間比較薪資，造成不滿和信任危機
• 客戶資料外洩：信任崩潰、可能面臨法律訴訟和罰款
• 身分證外洩：可能被用於身份盜用、詐騙

重點不是「事後補救」，而是從設計階段就考慮隱私。當你開始建立一份新的試算表時，第一個問題應該是：「這裡面有沒有敏感資料？」

核心概念：最小權限原則

最小權限原則說的是：只給「需要知道」的人「必要的」資料。

不是每個人都需要看到所有資料：

• HR → 需要看薪資和個人資料
• 部門主管 → 需要看部門成員的基本資料，不需要看薪資
• 一般員工 → 只需要看到自己的資料

如果你把所有資料放在一張表裡，然後分享給所有人——你就違反了最小權限原則。

認識 PII（個人識別資訊）

PII（Personally Identifiable Information）是指能夠直接或間接識別特定個人的資訊。

直接 PII

可以直接辨識身份的資訊：

• 姓名
• 身分證號碼
• 電話號碼
• Email
• 地址

敏感 PII

外洩後會造成嚴重傷害的資訊：

• 身分證號碼
• 信用卡號碼
• 銀行帳號
• 醫療紀錄

資料分級

不是所有資料都需要相同的保護等級。建立一個分級制度，讓你和團隊知道每種資料該怎麼處理：

直接 PII（姓名、電話、Email）至少是 Level 3；敏感 PII（身分證、信用卡、銀行帳號）一定是 Level 4。

保護策略的觀念

知道了什麼資料需要保護之後，怎麼保護呢？有幾個核心策略：

欄位分離

不要把所有資料放在同一張表。 依敏感等級拆分——基本資料（姓名、部門）放一張表，敏感資料（薪資、身分證）放另一張表。每張表設定不同的分享權限，用員工編號當 Key 串接。

這就像公司不會把所有文件放在同一個資料夾裡一樣。機密文件有自己的保險箱。

資料遮罩

有時候你需要顯示部分資料，但不需要完整內容。比如：

保留足夠辨識的部分，隱藏可被濫用的部分。試算表裡有文字函式可以做到這件事，具體操作我們後面會學到。

代碼化

比遮罩更徹底——用代碼完全取代真實資料。日常分析用代碼，只有需要的時候才查對照表。

這特別適合需要外部人員（顧問、實習生）處理資料的情境。他們能做分析，但完全不接觸真實個資。

設計階段的隱私檢查

在建立新試算表之前，花一分鐘問自己這些問題：

欄位審查：

• 每一欄包含什麼類型的資料？
• 有沒有 PII？是直接 PII 還是敏感 PII？
• 這些資料的分級是什麼？

存取審查：

• 誰需要看到這份資料？
• 他們需要看到所有欄位嗎？
• 有沒有可以省略的敏感欄位？

必要性審查：

• 這些敏感資料真的需要在試算表裡嗎？
• 可不可以只存 ID，不存完整個資？

重點整理

1. 隱私設計要從一開始就考慮，不是事後補救。
2. 最小權限原則：只給需要知道的人必要的資料。
3. PII 包含直接和敏感兩類，敏感 PII 需要最高等級保護。
4. 用資料分級制度（Level 1-4）來統一管理不同類型資料的處理方式。
5. 保護策略：欄位分離、資料遮罩、代碼化——依情境選擇合適的方式。
6. 建立前先做隱私檢查：審查欄位、存取需求、資料必要性。