原标题:快速入门,专家解读GDPR十大重点
台湾BSI总经理蒲树盛表示,GDPR因应科技的发展,将以往不曾纳入个资范围的Cookie、IP位址以及GPS位址等,都成为新型态的个人可识别资讯(PII),企业和组织就必须思考如何保护相关的PII。(摄影/洪政伟)
即将于明年5月25日正式实施的欧盟通用资料保护规则(GDPR),也是近年来,影响全球资料保护作为最大的法规。不管你是法人或自然人,不论公司规模大小,拥有的欧洲民众个资多寡,只要你的核心业务直接或间接和欧洲民众个资的搜集、处理和利用有关的话,到明年5月之前,都必须要从内部系统到资安政策及时调整,以便能够符合GDPR对于个资保护的规范和要求。
台湾BSI总经理蒲树盛表示,GDPR因应科技发展,对于个资规定的范围比以往更多,也把以前不曾视为个资的Cookie、IP位址甚至是GPS位置等数位资料,也都视为个资的一环。
他坦言,对于受到GDPR规范影响的企业而言,甚至必须重新检视,企业内原本个资保护的系统以及相对应的个资保护政策,是否足以满足GDPR的规范,他也建议,可以从GDPR的10个重点,去检视企业内部是否已经可以做到合规的要求。
台湾先前也曾经经历过,企业必须因应个人资料保护法的规定,重新调整企业内部的系统,以符合台湾个资法的规范,更有许多企业趁机导入一套个资保护的系统和制度,作为企业长期检视个资保护的机制。
蒲树盛认为,台湾已经有这些个资保护机制的企业,在因应欧盟GDPR的规范时,可以在原本的基础上,新增原先台版个资法没有规范到的项目,也可以大幅降低企业必须从头因应欧盟GDPR的高门槛。
因此在着手了解GDPR之前,必须要先对于个人可识别资讯(Personally△Identifiable△Information,PII)有概念。
蒲树盛表示,全球逐渐将个资的内容,视为一个可以识别个人的相关资讯,这也是未来在谈论所有个资保护相关法规遵循时,必须要注意到的事。可以识别个人的资讯,已经从过往单纯的姓名、性别、电话号码、住址、身份证字号或是社会安全号码等,在GDPR的规范中,更进一步扩展到可以直接或间接过滤出特定对象资料的资料类型,像是网络浏览器中的Cookie、网络IP位址,或是包括其他足以识别特定个人身份或性别的基因、生物特征或医疗资料等,全部都在PII的规范之中。
因为PII定义的范围和内容比以往更多也更复杂,这对于必须因应GDPR规范的企业和组织而言,因应的困难度也随之提升。
重点1 以资料为主体,明年5月正式实施
蒲树盛表示,GDPR从2016年5月25日正式生效后,因为欧盟有28个会员国,加上定义的可识别资讯比过往更多,也增加企业和组织因应GDPR的难度,因此,也特别规定2年的缓冲期,要到2018年5月25日才会正式施行。
“GDPR主要是为了要取代欧盟在1995年推出的欧盟个人资料保护指令,”蒲树盛说,毕竟当科技持续发展的同时,旧时的法规有时候已经无法因应新兴的科技风险,势必要重新调整相关的法规,借此让相关的企业或组织,可以实施适切的安全性措施,保护欧盟民众的个人可识别资料安全性。
而GDPR除了适用在欧盟地区注册的企业,或者是不是欧盟注册的企业,但在欧盟营运,或者是,有搜集、处理或利用欧盟民众个人资料的企业或组织等,都在GDPR的规范中。
重点2 企业必须设置资料保护长,且需负起法律责任
除了当事人(Data△Subject)之外,一般搜集、处理和利用PII的组织,可以分成资料控制者(Data△Controller)和资料处理者(Data△Processor)。
但不管是哪一种角色,只要企业的核心业务涉及对欧盟民众的个人资料的处理,为了确保企业组织可以有效因应GDPR的资料保护规范,欧盟就要求这些企业,都必须要设置一个资料保护长(Data△Protection△Officer,DPO)的重要角色。
早期欧盟有规定,只有超过250人以上的企业才需要设置资料保护长这个角色,但台湾勤业众信风险咨询顾问公司协理林彦良表示,现在欧盟已经取消这个规定。
因此,未来全球所有企业的核心业务,只要涉及欧洲民众个资的搜集、处理和利用时,不论公司规模大小,都必须设置资料保护长。蒲树盛也说:“这个资料保护长必须要有效依法履行职责,一旦企业有违反GDPR的规范,这个资料保护长需要被追究相关的法律责任。”
重点3 个资的搜集、处理和利用,必须先征求当事人的同意
对于曾经经历过台版个资法因应的企业而言,蒲树盛认为,台湾企业对于个资搜集处理和利用的特定目的,以及必须先征得当事人同意的部份,落实度相对高。
欧盟要求企业必须强化同意书的条件,不可以使用充满法律术语和难以理解的文字,且必须和其他事项内容有区隔,可以更容易获得民众的了解和同意。对此,蒲树盛认为,像是台湾的金融业者,在契约上清楚标示个资使用的特定目的,甚至用红框特别圈起来标注给当事人知情,这样的作法,就已经符合欧盟对于同意书的基本要求。
不过,蒲树盛也说,GDPR不仅要求要提供简明易懂的个资使用同意书,连撤销个资使用的同意书,也必须一样简明易懂且容易撤销,这个部分是台湾企业比较没有落实的部份,对欧盟企业也是新的挑战。
再者,GDPR也赋予欧洲民众可以选择“不共用资料”的权利,也就是说,欧洲民众可以拒绝企业共同行销。他指出,目前多数台湾企业把共同行销的权利都放在特定目的的规范上,但不管欧盟GDPR或是者台版个资法的规定,同样赋予民众可以拒绝共同行销的权利。
重点4 强化个人资料可携权权利
欧盟为了让民众对自己的个资有更大的控制权,在GDPR的规范中,也首度明定“资料可携权”。
蒲树盛解释,资料可携权就是让欧洲民众在不同服务业者之间,具有自由搬动个资的权利,例如,欧洲民众可以从某个ISP业者,轻易搬到另外一个ISP业者的服务上。不过,他也表示,更具体细节的作法,仍要回归到各国因应GDPR所做的法规调适的规定中。
重点5 新增被遗忘权
“被遗忘权”是近年来欧洲对于隐私保护一再强调的重点项目之一,像是,欧洲法院过去已经有不少的判例要求,包括Google在内的搜寻引擎业者,必须把“不相关”或“过期”的个人资讯结果中,移除相关的连结。
蒲树盛表示,被遗忘权也被称为“资料抹除”,就是要让资料的当事人可以要求包括资料控制者以及资料处理者,必须协助抹除当事人个人资料、停止使用当事人个资,这包括供应商和其他的第三方业者在内。他指出,抹除资料的前提条件包括:资料利用与处理目的不同、非法处理个资,或者是资料当事人撤销同意书等,都可以要求删除。
有许多人也会把被遗忘权和新闻自由混为一谈,林彦良解释,由于新闻自由涉及公共利益,所以这方面还是会由各国自行定义,而GDPR上规范的被遗忘权,在现阶段比较偏向“搜寻不到相关资讯”,而新闻媒体原本就有其新闻规范,与隐私保护的角度有所不同。
重点6 外泄个资,必须在72小时内通报资料保护主管机关
GDPR也严格规范,不论是资料控制者或者是资料处理者,一旦爆发个资外泄的资安事件时,必须要在72小时内,即刻通报给资料保护主管机关(Data△Protection△Authority);但是,如果这个外泄资料对于当事人会造成重要危害时,也应该要及时通知当事人。
不过,他表示,欧盟对于应该在多久期间内,将个资外泄的事情通知当事人,并没有明确规定,但若以公告机制作为通知当事人的作为,是可以的。
重点7 个资保护系统预设要纳入隐私保护
蒲树盛表示,不论是Privacy△by△Desing(隐私保护设计)或者是Privacy△By△Default(隐私保护预设),都是近年来欧盟在谈论个资或隐私保护的重要观点,因此在GDPR的规范中,也正式纳入相关的规范制度,要求企业或组织在建置及设计新资讯系统时,应该要将资料保护设计纳入考量。
他指出,不只要跟IT部门或者是合作厂商沟通,必须要将相关的技术、合约、管理等措施,都符合GDPR的规范,也必须要将这些处理标准,例如个资或个人可识别资讯(PII)的储存和传输加密等过程,都纳入和第三方委外合作厂商签订的合约中,而且,这个规范也适用于提供“云端服务”的资料控制者和资料处理者。
不过,蒲树盛也坦言,像是BSI英国总公司对于合约要求很严格,但是台湾有很多合约是无法弹性修正的,为了配合GDPR的规范,变通的方法就是,由总公司审核几位同时了解英国和台湾法律的合格律师,一旦有任何合约签订时,都先由这些合作律师判断是否符合GDPR的规范后,才会进行后续的合约签订。
重点8 赋予当事人有权反对被自动化剖析(Profiling)权利
GDPR也赋予当事人反对权,就是当事人有权在特定情况下,可以反对资料控制者和资料处理者,对于他们如何处理当事人资料的方式,除非资料控制者或处理者可以证明,原先的资料处理方式有其不得不的正当性,例如有其他法律要求规范等。蒲树盛表示,一旦当事人提出反对权,而资料控制者或处理者无其他正当理由反对时,就必须立即停止处理当事人个资。
他也强调,反对权并不同于被遗忘权,除了两者不能混为一谈外,这个反对权利也适用采取大量个资自动化产生的剖析(Profiling)活动。
蒲树盛解释,GDPR赋予资料当事人有权了解某一项特定服务,是如何利用大数据分析、机器学习、人工智慧等技术,进行资料分析和研判的服务,当然也有权反对被如此剖析。但蒲树盛也直言,利用机器学习或人工智慧做剖析时,在实务上很难直接适用反对权,也成为在技术适用上的一大挑战。
重点9 要求企业必须落实资料保护影响评估
许多台湾企业在因应台版个资法的时候,都有被要求进行隐私权冲击分析(PIA)和风险评估(RA),蒲树盛说,同样的作法也适用于GDPR,只不过,PIA转变成资料保护影响评估(Data△Protection△Impact△Assessments,DPIA)。
蒲树盛表示,DPIA主要是要辨识业务流程中,有哪些涉及个人隐私权利的风险,并加以衡量、管理和因应;而且在进行评估前,也应该先确认相关的业务活动与带来的隐私风险,是否具有其对称性和必要性。
他指出,DPIA和PIA的精神雷同,但是,台版个资法并没有明确定义PIA,不过,在GDPR的规范中,则明确定义DPIA的内涵和确认其一致性。
重点10 提高罚则金额,甚至以全球营业额计算罚金金额
为了让企业更有警觉,GDPR更大幅提高罚金金额,蒲树盛表示,罚款分两种情境做处罚,第一种是没有合法理由,拒绝当事人删除个人资料的请求,也没有建立对企业或用户资料保护的文件化管理系统时,最高可以处罚1千万欧元(约新台币3.6亿元),或者是全球营业总额的2%作为罚款。
如果是更严重的违规,不论是非法处理个资;没有合法理由,拒绝用户停止处理个资的情求;在资料外泄事故发生后,没有及时通知个资监管机构;没有执行隐私风险评估(DPIA);没有任命资料保护长;违法向第三国传输个资等违规行为,最高可以处罚2千万欧元(新台币7.2亿元)或是全球营业总额4%作为罚款。他说:“不论是定额罚金或是营业总额比例的罚金,哪一个罚款多,就以哪一个为主。”
企业从存取、保护、监控、回应和管理面向,因应GDPR资安公司趋势科技在今年9月针对企业C等级的高阶主管进行一份调查显示,有95%的企业高阶主管已经意识到,他们必须符合GDPR的法遵规范;其中,也有85%的企业高阶主管也已经检视是否符合相关规范;也有79%的企业高阶主管认为,他们已经尽可能落实相关的资料保护并且具有足够的信心。
虽然企业高阶主管对于法遵的落实度信心十足,不过,根据国际调研机构Gartner的调查却指出,直到2018年底,还有超过50%受到GDPR影响的企业或组织,并无法全部落实GDPR相关资料保护的规定。
企业应该如何因应GDPR的规范呢?台湾勤业众信风险管理顾问公司协理林彦良表示,可以从存取、保护、监控、回应以及管理等五个面向,检视企业是否已经有能力因应GDPR的规范。
林彦良指出,存取面主要是偏重在,企业必须知道搜集什么样的资料和其资料来源,并且必须落实敏感资料的权限控管,当事人的告知与同意是必然的,也必须确认这些资料传输地点(涉及跨境传输)和储存位置是否安全。
保护面主要谈到,针对新的或变更过的商业流程,是否有建立进行隐私权冲击分析的程序,面对当事人要求删除个资时,企业是否有能力因应?
监控面便要看,企业组织采用什么样的指标,来检测企业对于资料保护的流程是?否合乎标准;企业也必须要事先评估,一旦爆发资料外泄事件,会对企业带来多少损失,更重要的是,一旦资料外泄,是否可以在72小时立即通报个资监管机构。
回应面则关乎,是否有提供资料当事人适当的管道,去存取及控制他们的个人资讯?是否已经建立针对全球性的法规变革时,有能力辨识并立即回应。
最后从管理面切入,林彦良强调,企业除了必须要提供可以满足资料保护长需求的职位外,也必须要评估欧盟通用资料保护规则(GDPR)对组织产生的风险暴露,更要确认,一旦有任何新的商业流程出现在,会经过风险分析(RA)和资料保护影响评估(DPIA)的程序。
iThome△Security
相关:
保险事业发展中心董事长桂先农表示,企业资料安全的责任应该由企业自行负担,资安险只是在于损害填补,弥补无法预料的资安威胁,而不是都是倚赖资安险来做资安防护,企业在正常商业活动中,仍需架构足够的资讯安全防
自8月25日开始,人民币对美元连续11个交易日上涨,最近的两个交易日,人民币中间价有所下调。那么怎么看待下一阶段的人民币汇率走势?国家外汇管理局副局长陆磊13日在国家金融与发展实验室主办的“人民币与外汇市场论
我酷网消息 脸书再曝黑科技!据外媒报道,脸书旗下的人工智能实验室日前开发出了一款动画机器人,这款机器人居然可以准确地模仿人类的各种表情。有受试者就表示,这款机器人在模仿中的表情几乎与受试者的表情没有任
【专家看趋势】1名理专就能服务1万人!财富管理数位变革进亚洲
图片来源: iThome 理财机器人之战正要在台湾开打,连年发布理财机器人全球报告的安永企业管理咨询公司,其执行副总经理张腾龙就对台湾的机器人理财发展持正向态度:“未来Robo-Advisor在亚太地区,包含台湾都会有大幅
我酷网消息 朝鲜昨天试爆氢弹的消息震惊了全世界,此次试爆还引起了里氏6.3级地震,威力前所未有。很多网友就很疑惑,现在朝鲜的核能力到底如何呢?对此,有专家就作出分析,认为朝鲜昨天刚刚试爆的这颗氢弹,至少相