原标题:10个欧盟GDPR常见QA
台湾勤业众信风险管理顾问公司协理林彦良(摄影/洪政伟)
尽管只剩下不到9个月的时间,台湾企业如同全球其他国家的企业一样,都得因应明年5月25日正式实施的欧盟通用资料保护规则(GDPR),但是,不少企业或网站主,在实务上该如何落实才能符合GDPR的规范,仍有许多疑问。台湾勤业众信风险管理顾问公司协理林彦良也针对常见的10个问题,提出建议。
?问 ?GDPR连Cookie和IP位址都视为个资纳管,企业该如何因应?
?答 ?科技变迁,欧盟在GDPR的个资范围中,首度将包含隐私资料的Cookie纳入隐私资料范畴,因为涉及隐私资料搜集、处理及利用,GDPR都需要告知当事人后并取得当事人明确同意。
GDPR针对资料搜集、处理和利用有三种角色,分别是当事人(Data△Subject)、资料控制者(Data△Controller)和资料处理者(Data△Processor),企业或网站开发者必须要先意识到,究竟要取得当事人哪些资料,告知与取得同意是第一步,只不过并不限制是哪一种形式,接下来就必须要能够证明已经取得当事人同意。
目前常见的做法是,在浏览过程一开始,即由网站提供当事人告知及同意的视窗,先确定当事人的同意,并留存相关告知及同意之纪录;如果使用GA服务或其他广告的嵌入,则需按照提供服务类型评估因应方案,可考量下列几点:
1. 确认现行服务有哪些与GDPR隐私资料有关;
2. 现行服务类型会搜集、处理及利用的GDPR隐私资料类型;
3. 评估现行隐私保护控制方式;
4. 评估现行服务架构差异,包含服务提供方式、服务内容、跨境传输及网站架构等。
?问 ?GDPR个资搜集有比例原则吗?不到1成顾客是欧洲公民,要遵守吗?
?答 ?按GDPR,资料控制者和资料处理者如果涉及欧盟公民隐私资料的搜集、处理及利用等行为,都应该要符合GDPR。不过,在GDPR的说明中,第4点有提到类似比例原则的概念,但仍采取较高层的描述,考量比例原则,可能会是控管的广度不变但深度有差别,实务做法则需依照不同案例来看。
?问 ?资料保护长(DPO)因有法律责任,只能找本国人担任吗?
?答 ?GDPR没有资料保护长需在地化要求,也没有限制资料保护长一定要是资料控制者或资料处理者的员工,但它要求需提供资料保护长容易于联络的连络资讯,不过,欧盟各会员国可能还有与资料保护长议题有关的本地法规要求,因此这项问题目前没有具体要求,需要确认未来各会员国的修法状态。
?问 ?GDPR对新闻媒体的报道有例外条款吗?
?答 ?新闻自由这部份涉及公共利益,可参考GDPR第85条规定,目前是交由各会员国自行立法。
?问 ?如何去识别化和去连结化?有标准作法吗?
?答 ?这部份议题目前可参考ISO组织ISO△29100建议及ISO△29191国际标准。
?问 ?遇到资料删除请求时,资料分析结果能否因已去识别化或去连结化,就不用删除了呢?
?答 ?按照GDPR说明第26条,去识别化资料(Aanonymous△Information)不属于隐私资料且不受GDPR保护,而GDPR第4条第5项则提到去连结化(Pseudonymisation)仍然是隐私资料,因此需先厘清这两者的区别。
去识别化指:隐私资料经不可逆方式处理后的匿名资料;而去连结化是指:一段隐私资料分开存放。因此,去识别化或去连结化应该是资料分析采取的资料保护手段,采用何种保护手段,则需依据资料分析方法及技术而定。
如果采用去识别化资料的资料分析结果,自然没有隐私保护问题;若是去连结化资料的资料分析结果,则仍需评估及持续追踪去连结化的有效性及相关隐私保护问题。资料分析结果可能会衍生多种场景,仍需视分析结果而定。
?问 ?在机器学习或是大数据应用上,如何落实当事人想删除个资、不被分析的权利呢?
?答 ?有关当事人删除,依据GDPR第17条至第19条,这部份跟台湾现行个资法近似。其中GDPR第17条包含删除权及被遗忘权。
有关不被分析的权利,主要是反对权。依据GDPR第21条至第23条,其中第22条即有关自动化分析相关机制的反对权,包含资料分析(Automated△Individual△Decision-Making)及个人档案剖析建立(Profiling)等活动,资料当事人除三项除外条件外,有权于任何时间行使反对权。
删除与反对是两种不同的权利,删除可以要求删除相关资料分析衍生的隐私资料,而反对则是不再继续参与自动化分析机制。
?问 ?跨境资料传输应该注意哪些面向呢?
?答 ?同样考量GDPR的三种角色,跨境传输需考量下列几点:
1. 属于资料控制者(Data△Controller)或资料处理者(Data△Processor);
2. 确认是否涉及GDPR隐私资料类型,即GDPR第2条、第3条内容;
3. 确认GDPR隐私资料传输目的地是否离开欧盟境内,如是,则相关搜集、处理及利用的告知需涵盖跨境这项议题;
4. GDPR针对隐私资料跨境传输为原则禁止、例外允许,针对第三国的考量则为隐私保护水准的一致性,主要为GDPR第五章(第44条~第50条)的要求,特别是第45条及第46条,第49条为跨境传输例外情况如当事人明确同意;
5. GDPR第45条第1项提到可直接传输的条件,类似白名单的概念,目前没有亚洲国家,原本美国也不在名单上,在欧盟同意隐私盾协议后列入。目前欧盟只同意共11个国家可跨境传输,包含安道尔、阿根廷、加拿大、瑞典、法罗群岛、根西、以色列、曼岛、泽西、新西兰及美国(基于隐私盾协议);
6. 针对隐私资料跨境传输议题,APEC组织于2012年起推动的Cross△Border△Privacy△Rules△System(CBPR)也在积极整合区域的跨境资料传输议题,目前共有包含美国、日本、加拿大、墨西哥、韩国等五个国家加入,台湾也有意愿加入,目前参与国主要着眼于未来CBPR与GDPR介接的可能性,目前APEC成员国约20家公司取得CBPR认证,未来可能也是种发展趋势。
?问 ?安全港协议失效后,隐私盾协议是现在欧美资料跨境传输的唯一准则吗?GDPR有详细规定吗?
?答 ?目前仅有的是2016年7月12日欧盟认可的隐私盾协议(Privacy△Shield),一般法规不会将单独或例外的协议纳入,因此GDPR也没有提到有关隐私盾的部份,但隐私盾仅可作为隐私资料跨越大西洋传输的一项协议,不代表美国企业符合GDPR。
?问 ?应该如何做到Privacy△by△Design或是Privacy△by△Deafult?
?答 ?Privacy△by△Design△Default的部份,需要在服务开发或服务设计时就纳入,基于当事人对于隐私保护的期待,依据服务类型定义出对应的隐私资料类型、处理方法及风险控制程序,实务上,Privacy△by△Design不仅是资讯作业流程的调整,更是整个服务规划流程的调整。
Privacy△by△Design的核心涵盖:主动非被动、预防非防治;寓隐私保护于设计中;隐私保护作为预设模式;全部功能正和而非零和;尊重用户隐私,确保以用户为中心;自始至终的安全,遍及全程的保护;保持能见及透明度,做到保持开放。
按照GDPR第25条提到,有关资料控制者、资料处理者对于Privacy△by△Design落实情况,可考量采用第42条提到的认证机制证明以落实Privacy△by△Design。
而第42条所称认证机制,指GDPR鼓励欧盟各会员国的隐私保护监管机构,可实施GDPR落实情形的认证机制,作为企业或组织已符合GDPR要求之论证方法。
相关:
台湾BSI总经理蒲树盛表示,GDPR因应科技的发展,将以往不曾纳入个资范围的Cookie、IP位址以及GPS位址等,都成为新型态的个人可识别资讯(PII),企业和组织就必须思考如何保护相关的PII。(摄影/洪政伟) 即将于明
【只要手上有欧洲民众个资,不论大小企业都需合规】欧洲最严个资法GDPR来了,你只剩9个月能因应
号称是有史以来,外泄个人资料罚金最高、个资涵括范围最广,以及处罚规定最严格、罚金最高的“欧盟通用资料保护规则”( EU△General△Data△Protection△Regulation,GDPR),即将于2018年5月25日正式实施。剩下不到
资料来源:AIG、台产,iThome整理制表,2017年9月 资安公司既然已经协助企业建置资安相关设备和措施,来防护已知与未知的资安威胁,以及提供专业资安服务,然而,保险公司提供资安险内容是什么,能够补救企业何种损
英国近日进行脱欧谈判,据外媒报道,协商后的脱欧代价是英国要付400亿给欧盟作为代价,但遭英国首相办公室否认该消息。?据外媒《firstpost》报道,一名英国官员表示,英国与欧盟双方协商脱欧的代价是英国要付出600亿
实时热点4日,欧盟对俄罗斯追加制裁,将三名俄罗斯公民及三家公司列入制裁清单,理由是由德国公司西门子提供的燃气涡轮机被运送至克里米亚地区违反了此前的欧盟...海外网8月5日电4日,欧盟对俄罗斯追加制裁,将三名俄罗斯