快速入門,專家解讀GDPR十大重點

快速入門,專家解讀GDPR十大重點 歐盟通用資料保護規則(GDPR)條款多達99條,內容相當複雜,如何快速了解條文內容,2位臺灣法遵專家出馬,臺灣BSI總經理蒲樹盛和勤業眾信風險管理顧問協理林彥良,要幫大家抓重點 文/黃彥棻 | 2017-09-21發表 臺灣BSI總經理蒲樹盛表示,GDPR因應科技的發展,將以往不曾納入個資範圍的Cookie、IP位址以及GPS位址等,都成為新型態的個人可識別資訊(PII),企業和組織就必須思考如何保護相關的PII。(攝影/洪政偉) 即將於明年5月25日正式實施的歐盟通用資料保護規則(GDPR),也是近年來,影響全球資料保護作為最大的法規。不管你是法人或自然人,不論公司規模大小,擁有的歐洲民眾個資多寡,只要你的核心業務直接或間接和歐洲民眾個資的蒐集、處理和利用有關的話,到明年5月之前,都必須要從內部系統到資安政策及時調整,以便能夠符合GDPR對於個資保護的規範和要求。臺灣BSI總經理蒲樹盛表示,GDPR因應科技發展,對於個資規定的範圍比以往更多,也把以前不曾視為個資的Cookie、IP位址甚至是GPS位置等數位資料,也都視為個資的一環。他坦言,對於受到GDPR規範影響的企業而言,甚至必須重新檢視,企業內原本個資保護的系統以及相對應的個資保護政策,是否足以滿足GDPR的規範,他也建議,可以從GDPR的10個重點,去檢視企業內部是否已經可以做到合規的要求。臺灣先前也曾經經歷過,企業必須因應個人資料保護法的規定,重新調整企業內部的系統,以符合臺灣個資法的規範,更有許多企業趁機導入一套個資保護的系統和制度,作為企業長期檢視個資保護的機制。蒲樹盛認為,臺灣已經有這些個資保護機制的企業,在因應歐盟GDPR的規範時,可以在原本的基礎上,新增原先臺版個資法沒有規範到的項目,也可以大幅降低企業必須從頭因應歐盟GDPR的高門檻。因此在著手了解GDPR之前,必須要先對於個人可識別資訊(Personally Identifiable Information,PII)有概念。蒲樹盛表示,全球逐漸將個資的內容,視為一個可以識別個人的相關資訊,這也是未來在談論所有個資保護相關法規遵循時,必須要注意到的事。可以識別個人的資訊,已經從過往單純的姓名、性別、電話號碼、住址、身分證字號或是社會安全號碼等,在GDPR的規範中,更進一步擴展到可以直接或間接過濾出特定對象資料的資料類型,像是網路瀏覽器中的Cookie、網路IP位址,或是包括其他足以識別特定個人身分或性別的基因、生物特徵或醫療資料等,全部都在PII的規範之中。因為PII定義的範圍和內容比以往更多也更複雜,這對於必須因應GDPR規範的企業和組織而言,因應的困難度也隨之提升。重點1 以資料為主體,明年5月正式實施蒲樹盛表示,GDPR從2016年5月25日正式生效後,因為歐盟有28個會員國,加上定義的可識別資訊比過往更多,也增加企業和組織因應GDPR的難度,因此,也特別規定2年的緩衝期,要到2018年5月25日才會正式施行。「GDPR主要是為了要取代歐盟在1995年推出的歐盟個人資料保護指令,」蒲樹盛說,畢竟當科技持續發展的同時,舊時的法規有時候已經無法因應新興的科技風險,勢必要重新調整相關的法規,藉此讓相關的企業或組織,可以實施適切的安全性措施,保護歐盟民眾的個人可識別資料安全性。而GDPR除了適用在歐盟地區註冊的企業,或者是不是歐盟註冊的企業,但在歐盟營運,或者是,有蒐集、處理或利用歐盟民眾個人資料的企業或組織等,都在GDPR的規範中。重點2 企業必須設置資料保護長,且需負起法律責任除了當事人(Data Subject)之外,一般蒐集、處理和利用PII的組織,可以分成資料控制者(Data Controller)和資料處理者(Data Processor)。但不管是哪一種角色,只要企業的核心業務涉及對歐盟民眾的個人資料的處理,為了確保企業組織可以有效因應GDPR的資料保護規範,歐盟就要求這些企業,都必須要設置一個資料保護長(Data Protection Officer,DPO)的重要角色。早期歐盟有規定,只有超過250人以上的企業才需要設置資料保護長這個角色,但臺灣勤業眾信風險諮詢顧問公司協理林彥良表示,現在歐盟已經取消這個規定。因此,未來全球所有企業的核心業務,只要涉及歐洲民眾個資的蒐集、處理和利用時,不論公司規模大小,都必須設置資料保護長。蒲樹盛也說:「這個資料保護長必須要有效依法履行職責,一旦企業有違反GDPR的規範,這個資料保護長需要被追究相關的法律責任。」重點3 個資的蒐集、處理和利用,必須先徵求當事人的同意對於曾經經歷過臺版個資法因應的企業而言,蒲樹盛認為,臺灣企業對於個資蒐集處理和利用的特定目的,以及必須先徵得當事人同意的部份,落實度相對高。歐盟要求企業必須強化同意書的條件,不可以使用充滿法律術語和難以理解的文字,且必須和其他事項內容有區隔,可以更容易獲得民眾的了解和同意。對此,蒲樹盛認為,像是臺灣的金融業者,在契約上清楚標示個資使用的特定目的,甚至用紅框特別圈起來標註給當事人知情,這樣的作法,就已經符合歐盟對於同意書的基本要求。不過,蒲樹盛也說,GDPR不僅要求要提供簡明易懂的個資使用同意書,連撤銷個資使用的同意書,也必須一樣簡明易懂且容易撤銷,這個部分是臺灣企業比較沒有落實的部份,對歐盟企業也是新的挑戰。再者,GDPR也賦予歐洲民眾可以選擇「不共用資料」的權利,也就是說,歐洲民眾可以拒絕企業共同行銷。他指出,目前多數臺灣企業把共同行銷的權利都放在特定目的的規範上,但不管歐盟GDPR或是者臺版個資法的規定,同樣賦予民眾可以拒絕共同行銷的權利。重點4 強化個人資料可攜權權利歐盟為了讓民眾對自己的個資有更大的控制權,在GDPR的規範中,也首度明定「資料可攜權」。蒲樹盛解釋,資料可攜權就是讓歐洲民眾在不同服務業者之間,具有自由搬動個資的權利,例如,歐洲民眾可以從某個ISP業者,輕易搬到另外一個ISP業者的服務上。不過,他也表示,更具體細節的作法,仍要回歸到各國因應GDPR所做的法規調適的規定中。重點5 新增被遺忘權「被遺忘權」是近年來歐洲對於隱私保護一再強調的重點項目之一,像是,歐洲法院過去已經有不少的判例要求,包括Google在內的搜尋引擎業者,必須把「不相關」或「過期」的個人資訊結果中,移除相關的連結。蒲樹盛表示,被遺忘權也被稱為「資料抹除」,就是要讓資料的當事人可以要求包括資料控制者以及資料處理者,必須協助抹除當事人個人資料、停止使用當事人個資,這包括供應商和其他的第三方業者在內。他指出,抹除資料的前提條件包括:資料利用與處理目的不同、非法處理個資,或者是資料當事人撤銷同意書等,都可以要求刪除。有許多人也會把被遺忘權和新聞自由混為一談,林彥良解釋,由於新聞自由涉及公共利益,所以這方面還是會由各國自行定義,而GDPR上規範的被遺忘權,在現階段比較偏向「搜尋不到相關資訊」,而新聞媒體原本就有其新聞規範,與隱私保護的角度有所不同。重點6 外洩個資,必須在72小時內通報資料保護主管機關GDPR也嚴格規範,不論是資料控制者或者是資料處理者,一旦爆發個資外洩的資安事件時,必須要在72小時內,即刻通報給資料保護主管機關(Data Protection Authority);但是,如果這個外洩資料對於當事人會造成重要危害時,也應該要及時通知當事人。不過,他表示,歐盟對於應該在多久期間內,將個資外洩的事情通知當事人,並沒有明確規定,但若以公告機制作為通知當事人的作為,是可以的。重點7 個資保護系統預設要納入隱私保護蒲樹盛表示,不論是Privacy by Desing(隱私保護設計)或者是Privacy By Default(隱私保護預設),都是近年來歐盟在談論個資或隱私保護的重要觀點,因此在GDPR的規範中,也正式納入相關的規範制度,要求企業或組織在建置及設計新資訊系統時,應該要將資料保護設計納入考量。他指出,不只要跟IT部門或者是合作廠商溝通,必須要將相關的技術、合約、管理等措施,都符合GDPR的規範,也必須要將這些處理標準,例如個資或個人可識別資訊(PII)的儲存和傳輸加密等過程,都納入和第三方委外合作廠商簽訂的合約中,而且,這個規範也適用於提供「雲端服務」的資料控制者和資料處理者。不過,蒲樹盛也坦言,像是BSI英國總公司對於合約要求很嚴格,但是臺灣有很多合約是無法彈性修正的,為了配合GDPR的規範,變通的方法就是,由總公司審核幾位同時了解英國和臺灣法律的合格律師,一旦有任何合約簽訂時,都先由這些合作律師判斷是否符合GDPR的規範後,才會進行後續的合約簽訂。重點8 賦予當事人有權反對被自動化剖析(Profiling)權利GDPR也賦予當事人反對權,就是當事人有權在特定情況下,可以反對資料控制者和資料處理者,對於他們如何處理當事人資料的方式,除非資料控制者或處理者可以證明,原先的資料處理方式有其不得不的正當性,例如有其他法律要求規範等。蒲樹盛表示,一旦當事人提出反對權,而資料控制者或處理者無其他正當理由反對時,就必須立即停止處理當事人個資。他也強調,反對權並不同於被遺忘權,除了兩者不能混為一談外,這個反對權利也適用採取大量個資自動化產生的剖析(Profiling)活動。蒲樹盛解釋,GDPR賦予資料當事人有權了解某一項特定服務,是如何利用大數據分析、機器學習、人工智慧等技術,進行資料分析和研判的服務,當然也有權反對被如此剖析。但蒲樹盛也直言,利用機器學習或人工智慧做剖析時,在實務上很難直接適用反對權,也成為在技術適用上的一大挑戰。重點9 要求企業必須落實資料保護影響評估許多臺灣企業在因應臺版個資法的時候,都有被要求進行隱私權衝擊分析(PIA)和風險評估(RA),蒲樹盛說,同樣的作法也適用於GDPR,只不過,PIA轉變成資料保護影響評估(Data Protection Impact Assessments,DPIA)。蒲樹盛表示,DPIA主要是要辨識業務流程中,有哪些涉及個人隱私權利的風險,並加以衡量、管理和因應;而且在進行評估前,也應該先確認相關的業務活動與帶來的隱私風險,是否具有其對稱性和必要性。他指出,DPIA和PIA的精神雷同,但是,臺版個資法並沒有明確定義PIA,不過,在GDPR的規範中,則明確定義DPIA的內涵和確認其一致性。重點10 提高罰則金額,甚至以全球營業額計算罰金金額為了讓企業更有警覺,GDPR更大幅提高罰金金額,蒲樹盛表示,罰款分兩種情境做處罰,第一種是沒有合法理由,拒絕當事人刪除個人資料的請求,也沒有建立對企業或用戶資料保護的文件化管理系統時,最高可以處罰1千萬歐元(約新臺幣3.6億元),或者是全球營業總額的2%作為罰款。如果是更嚴重的違規,不論是非法處理個資;沒有合法理由,拒絕用戶停止處理個資的情求;在資料外洩事故發生後,沒有及時通知個資監管機構;沒有執行隱私風險評估(DPIA);沒有任命資料保護長;違法向第三國傳輸個資等違規行為,最高可以處罰2千萬歐元(新臺幣7.2億元)或是全球營業總額4%作為罰款。他說:「不論是定額罰金或是營業總額比例的罰金,哪一個罰款多,就以哪一個為主。」企業從存取、保護、監控、回應和管理面向,因應GDPR資安公司趨勢科技在今年9月針對企業C等級的高階主管進行一份調查顯示,有95%的企業高階主管已經意識到,他們必須符合GDPR的法遵規範;其中,也有85%的企業高階主管也已經檢視是否符合相關規範;也有79%的企業高階主管認為,他們已經盡可能落實相關的資料保護並且具有足夠的信心。雖然企業高階主管對於法遵的落實度信心十足,不過,根據國際調研機構Gartner的調查卻指出,直到2018年底,還有超過50%受到GDPR影響的企業或組織,並無法全部落實GDPR相關資料保護的規定。企業應該如何因應GDPR的規範呢?臺灣勤業眾信風險管理顧問公司協理林彥良表示,可以從存取、保護、監控、回應以及管理等五個面向,檢視企業是否已經有能力因應GDPR的規範。林彥良指出,存取面主要是偏重在,企業必須知道蒐集什麼樣的資料和其資料來源,並且必須落實敏感資料的權限控管,當事人的告知與同意是必然的,也必須確認這些資料傳輸地點(涉及跨境傳輸)和儲存位置是否安全。保護面主要談到,針對新的或變更過的商業流程,是否有建立進行隱私權衝擊分析的程序,面對當事人要求刪除個資時,企業是否有能力因應?監控面便要看,企業組織採用什麼樣的指標,來檢測企業對於資料保護的流程是㪋否合乎標準;企業也必須要事先評估,一旦爆發資料外洩事件,會對企業帶來多少損失,更重要的是,一旦資料外洩,是否可以在72小時立即通報個資監管機構。回應面則關乎,是否有提供資料當事人適當的管道,去存取及控制他們的個人資訊?是否已經建立針對全球性的法規變革時,有能力辨識並立即回應。最後從管理面切入,林彥良強調,企業除了必須要提供可以滿足資料保護長需求的職位外,也必須要評估歐盟通用資料保護規則(GDPR)對組織產生的風險暴露,更要確認,一旦有任何新的商業流程出現時,會經過風險分析(RA)和資料保護影響評估(DPIA)的程序。 iThome Security

更多訊息更多資料都在這裡喔!~芙婷寶~PPLS~血栓溶解酵素~蜂王乳~蝦紅素~蚯蚓粉~保健食品~智勝王~地龍酵素~地龍粉~磷蝦油~青春元素~健康食品~蝦青素~蜂王漿~膠股力~膠骨力~力雪達~南極寶

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *