即將於明年5月25日正式實施的歐盟通用資料保護規則(GDPR),也是近年來,影響全球資料保護作為最大的法規。不管你是法人或自然人,不論公司規模大小,擁有的歐洲民眾個資多寡,只要你的核心業務直接或間接和歐洲民眾個資的蒐集、處理和利用有關的話,到明年5月之前,都必須要從內部系統到資安政策及時調整,以便能夠符合GDPR對於個資保護的規範和要求。
臺灣BSI總經理蒲樹盛表示,GDPR因應科技發展,對於個資規定的範圍比以往更多,也把以前不曾視為個資的Cookie、IP位址甚至是GPS位置等數位資料,也都視為個資的一環。
他坦言,對於受到GDPR規範影響的企業而言,甚至必須重新檢視,企業內原本個資保護的系統以及相對應的個資保護政策,是否足以滿足GDPR的規範,他也建議,可以從GDPR的10個重點,去檢視企業內部是否已經可以做到合規的要求。
臺灣先前也曾經經歷過,企業必須因應個人資料保護法的規定,重新調整企業內部的系統,以符合臺灣個資法的規範,更有許多企業趁機導入一套個資保護的系統和制度,作為企業長期檢視個資保護的機制。
蒲樹盛認為,臺灣已經有這些個資保護機制的企業,在因應歐盟GDPR的規範時,可以在原本的基礎上,新增原先臺版個資法沒有規範到的項目,也可以大幅降低企業必須從頭因應歐盟GDPR的高門檻。
因此在著手了解GDPR之前,必須要先對於個人可識別資訊(Personally Identifiable Information,PII)有概念。
蒲樹盛表示,全球逐漸將個資的內容,視為一個可以識別個人的相關資訊,這也是未來在談論所有個資保護相關法規遵循時,必須要注意到的事。可以識別個人的資訊,已經從過往單純的姓名、性別、電話號碼、住址、身分證字號或是社會安全號碼等,在GDPR的規範中,更進一步擴展到可以直接或間接過濾出特定對象資料的資料類型,像是網路瀏覽器中的Cookie、網路IP位址,或是包括其他足以識別特定個人身分或性別的基因、生物特徵或醫療資料等,全部都在PII的規範之中。
因為PII定義的範圍和內容比以往更多也更複雜,這對於必須因應GDPR規範的企業和組織而言,因應的困難度也隨之提升。
重點1以資料為主體,明年5月正式實施
蒲樹盛表示,GDPR從2016年5月25日正式生效後,因為歐盟有28個會員國,加上定義的可識別資訊比過往更多,也增加企業和組織因應GDPR的難度,因此,也特別規定2年的緩衝期,要到2018年5月25日才會正式施行。
「GDPR主要是為了要取代歐盟在1995年推出的歐盟個人資料保護指令,」蒲樹盛說,畢竟當科技持續發展的同時,舊時的法規有時候已經無法因應新興的科技風險,勢必要重新調整相關的法規,藉此讓相關的企業或組織,可以實施適切的安全性措施,保護歐盟民眾的個人可識別資料安全性。
而GDPR除了適用在歐盟地區註冊的企業,或者是不是歐盟註冊的企業,但在歐盟營運,或者是,有蒐集、處理或利用歐盟民眾個人資料的企業或組織等,都在GDPR的規範中。
重點2企業必須設置資料保護長,且需負起法律責任
除了當事人(Data Subject)之外,一般蒐集、處理和利用PII的組織,可以分成資料控制者(Data Controller)和資料處理者(Data Processor)。
但不管是哪一種角色,只要企業的核心業務涉及對歐盟民眾的個人資料的處理,為了確保企業組織可以有效因應GDPR的資料保護規範,歐盟就要求這些企業,都必須要設置一個資料保護長(Data Protection Officer,DPO)的重要角色。
早期歐盟有規定,只有超過250人以上的企業才需要設置資料保護長這個角色,但臺灣勤業眾信風險諮詢顧問公司協理林彥良表示,現在歐盟已經取消這個規定。
因此,未來全球所有企業的核心業務,只要涉及歐洲民眾個資的蒐集、處理和利用時,不論公司規模大小,都必須設置資料保護長。蒲樹盛也說:「這個資料保護長必須要有效依法履行職責,一旦企業有違反GDPR的規範,這個資料保護長需要被追究相關的法律責任。」
重點3個資的蒐集、處理和利用,必須先徵求當事人的同意
對於曾經經歷過臺版個資法因應的企業而言,蒲樹盛認為,臺灣企業對於個資蒐集處理和利用的特定目的,以及必須先徵得當事人同意的部份,落實度相對高。
歐盟要求企業必須強化同意書的條件,不可以使用充滿法律術語和難以理解的文字,且必須和其他事項內容有區隔,可以更容易獲得民眾的了解和同意。對此,蒲樹盛認為,像是臺灣的金融業者,在契約上清楚標示個資使用的特定目的,甚至用紅框特別圈起來標註給當事人知情,這樣的作法,就已經符合歐盟對於同意書的基本要求。
不過,蒲樹盛也說,GDPR不僅要求要提供簡明易懂的個資使用同意書,連撤銷個資使用的同意書,也必須一樣簡明易懂且容易撤銷,這個部分是臺灣企業比較沒有落實的部份,對歐盟企業也是新的挑戰。
再者,GDPR也賦予歐洲民眾可以選擇「不共用資料」的權利,也就是說,歐洲民眾可以拒絕企業共同行銷。他指出,目前多數臺灣企業把共同行銷的權利都放在特定目的的規範上,但不管歐盟GDPR或是者臺版個資法的規定,同樣賦予民眾可以拒絕共同行銷的權利。
重點4強化個人資料可攜權權利
歐盟為了讓民眾對自己的個資有更大的控制權,在GDPR的規範中,也首度明定「資料可攜權」。
蒲樹盛解釋,資料可攜權就是讓歐洲民眾在不同服務業者之間,具有自由搬動個資的權利,例如,歐洲民眾可以從某個ISP業者,輕易搬到另外一個ISP業者的服務上。不過,他也表示,更具體細節的作法,仍要回歸到各國因應GDPR所做的法規調適的規定中。
重點5 新增被遺忘權
「被遺忘權」是近年來歐洲對於隱私保護一再強調的重點項目之一,像是,歐洲法院過去已經有不少的判例要求,包括Google在內的搜尋引擎業者,必須把「不相關」或「過期」的個人資訊結果中,移除相關的連結。
蒲樹盛表示,被遺忘權也被稱為「資料抹除」,就是要讓資料的當事人可以要求包括資料控制者以及資料處理者,必須協助抹除當事人個人資料、停止使用當事人個資,這包括供應商和其他的第三方業者在內。他指出,抹除資料的前提條件包括:資料利用與處理目的不同、非法處理個資,或者是資料當事人撤銷同意書等,都可以要求刪除。
有許多人也會把被遺忘權和新聞自由混為一談,林彥良解釋,由於新聞自由涉及公共利益,所以這方面還是會由各國自行定義,而GDPR上規範的被遺忘權,在現階段比較偏向「搜尋不到相關資訊」,而新聞媒體原本就有其新聞規範,與隱私保護的角度有所不同。
重點6外洩個資,必須在72小時內通報資料保護主管機關
GDPR也嚴格規範,不論是資料控制者或者是資料處理者,一旦爆發個資外洩的資安事件時,必須要在72小時內,即刻通報給資料保護主管機關(Data Protection Authority);但是,如果這個外洩資料對於當事人會造成重要危害時,也應該要及時通知當事人。
不過,他表示,歐盟對於應該在多久期間內,將個資外洩的事情通知當事人,並沒有明確規定,但若以公告機制作為通知當事人的作為,是可以的。
重點7個資保護系統預設要納入隱私保護
蒲樹盛表示,不論是Privacy by Desing(隱私保護設計)或者是Privacy By Default(隱私保護預設),都是近年來歐盟在談論個資或隱私保護的重要觀點,因此在GDPR的規範中,也正式納入相關的規範制度,要求企業或組織在建置及設計新資訊系統時,應該要將資料保護設計納入考量。
他指出,不只要跟IT部門或者是合作廠商溝通,必須要將相關的技術、合約、管理等措施,都符合GDPR的規範,也必須要將這些處理標準,例如個資或個人可識別資訊(PII)的儲存和傳輸加密等過程,都納入和第三方委外合作廠商簽訂的合約中,而且,這個規範也適用於提供「雲端服務」的資料控制者和資料處理者。
不過,蒲樹盛也坦言,像是BSI英國總公司對於合約要求很嚴格,但是臺灣有很多合約是無法彈性修正的,為了配合GDPR的規範,變通的方法就是,由總公司審核幾位同時了解英國和臺灣法律的合格律師,一旦有任何合約簽訂時,都先由這些合作律師判斷是否符合GDPR的規範後,才會進行後續的合約簽訂。
重點8 賦予當事人有權反對被自動化剖析(Profiling)權利
GDPR也賦予當事人反對權,就是當事人有權在特定情況下,可以反對資料控制者和資料處理者,對於他們如何處理當事人資料的方式,除非資料控制者或處理者可以證明,原先的資料處理方式有其不得不的正當性,例如有其他法律要求規範等。蒲樹盛表示,一旦當事人提出反對權,而資料控制者或處理者無其他正當理由反對時,就必須立即停止處理當事人個資。
他也強調,反對權並不同於被遺忘權,除了兩者不能混為一談外,這個反對權利也適用採取大量個資自動化產生的剖析(Profiling)活動。
蒲樹盛解釋,GDPR賦予資料當事人有權了解某一項特定服務,是如何利用大數據分析、機器學習、人工智慧等技術,進行資料分析和研判的服務,當然也有權反對被如此剖析。但蒲樹盛也直言,利用機器學習或人工智慧做剖析時,在實務上很難直接適用反對權,也成為在技術適用上的一大挑戰。
重點9 要求企業必須落實資料保護影響評估
許多臺灣企業在因應臺版個資法的時候,都有被要求進行隱私權衝擊分析(PIA)和風險評估(RA),蒲樹盛說,同樣的作法也適用於GDPR,只不過,PIA轉變成資料保護影響評估(Data Protection Impact Assessments,DPIA)。
蒲樹盛表示,DPIA主要是要辨識業務流程中,有哪些涉及個人隱私權利的風險,並加以衡量、管理和因應;而且在進行評估前,也應該先確認相關的業務活動與帶來的隱私風險,是否具有其對稱性和必要性。
他指出,DPIA和PIA的精神雷同,但是,臺版個資法並沒有明確定義PIA,不過,在GDPR的規範中,則明確定義DPIA的內涵和確認其一致性。
重點10 提高罰則金額,甚至以全球營業額計算罰金金額
為了讓企業更有警覺,GDPR更大幅提高罰金金額,蒲樹盛表示,罰款分兩種情境做處罰,第一種是沒有合法理由,拒絕當事人刪除個人資料的請求,也沒有建立對企業或用戶資料保護的文件化管理系統時,最高可以處罰1千萬歐元(約新臺幣3.6億元),或者是全球營業總額的2%作為罰款。
如果是更嚴重的違規,不論是非法處理個資;沒有合法理由,拒絕用戶停止處理個資的情求;在資料外洩事故發生後,沒有及時通知個資監管機構;沒有執行隱私風險評估(DPIA);沒有任命資料保護長;違法向第三國傳輸個資等違規行為,最高可以處罰2千萬歐元(新臺幣7.2億元)或是全球營業總額4%作為罰款。他說:「不論是定額罰金或是營業總額比例的罰金,哪一個罰款多,就以哪一個為主。」
企業從存取、保護、監控、回應和管理面向,因應GDPR
資安公司趨勢科技在今年9月針對企業C等級的高階主管進行一份調查顯示,有95%的企業高階主管已經意識到,他們必須符合GDPR的法遵規範;其中,也有85%的企業高階主管也已經檢視是否符合相關規範;也有79%的企業高階主管認為,他們已經盡可能落實相關的資料保護並且具有足夠的信心。
雖然企業高階主管對於法遵的落實度信心十足,不過,根據國際調研機構Gartner的調查卻指出,直到2018年底,還有超過50%受到GDPR影響的企業或組織,並無法全部落實GDPR相關資料保護的規定。
企業應該如何因應GDPR的規範呢?臺灣勤業眾信風險管理顧問公司協理林彥良表示,可以從存取、保護、監控、回應以及管理等五個面向,檢視企業是否已經有能力因應GDPR的規範。
林彥良指出,存取面主要是偏重在,企業必須知道蒐集什麼樣的資料和其資料來源,並且必須落實敏感資料的權限控管,當事人的告知與同意是必然的,也必須確認這些資料傳輸地點(涉及跨境傳輸)和儲存位置是否安全。
保護面主要談到,針對新的或變更過的商業流程,是否有建立進行隱私權衝擊分析的程序,面對當事人要求刪除個資時,企業是否有能力因應?
監控面便要看,企業組織採用什麼樣的指標,來檢測企業對於資料保護的流程是㪋否合乎標準;企業也必須要事先評估,一旦爆發資料外洩事件,會對企業帶來多少損失,更重要的是,一旦資料外洩,是否可以在72小時立即通報個資監管機構。
回應面則關乎,是否有提供資料當事人適當的管道,去存取及控制他們的個人資訊?是否已經建立針對全球性的法規變革時,有能力辨識並立即回應。
最後從管理面切入,林彥良強調,企業除了必須要提供可以滿足資料保護長需求的職位外,也必須要評估歐盟通用資料保護規則(GDPR)對組織產生的風險暴露,更要確認,一旦有任何新的商業流程出現時,會經過風險分析(RA)和資料保護影響評估(DPIA)的程序。
