原标题:欧洲最严个资法GDPR终于来了,全球企业准备好了吗?
资料来源:勤业,iThome整理,2018年5月
全球风险咨询管理顾问公司勤业(Deloitte)于今年2月,进行一份全球勤业GDPR(欧盟通用资料保护规则)标竿调查(Benchmarking△Survey)发现,欧洲、中东以及非洲地区(EMEA)的企业,其中有将近4成(39%)的企业,花不到10万欧元(新台币360万元)因应GDPR,却有15%的组织,花了超过500万欧元(新台币1.8亿元)因应。
或许有人会质疑,因应GDPR的花费和员工规模有关系?但实际上,从调查中却发现到,员工人数、公司规模和花多少钱因应GDPR,并没有正相关。调查指出,有员工人数少于1万人的组织花了超过250万欧元(新台币8,750万元)来因应GDPR,但也有员工人数破5万的组织只花不到25万欧元,显见企业因应GDPR应该支出的金额,和员工人数多寡没有绝对关系。
尽管台湾企业对于因应GDPR的速度较慢,但从该份调查发现,欧盟企业目前也只有15%的受访企业,可以在GDPR正式实施前,完全合乎规定而已。调查中发现,有45%的企业有专责的隐私部门,有32%企业有兼职的隐私部门,但最终,则有23%的企业,还没有制定任何隐私部门单位。
从调查中也可以进一步显示,哪些是因应GDPR的挑战呢?包括征求当事人同意,以及当事人权利中的资料删除,开发和维护个人资料寄存器(Register),资料可携性和个人资料控管者的当责(Accountability)性。
台湾勤业众信风险管理咨询顾问公司副总经理林彦良则指出,企业因应GDPR不仅是一份合规的工作,更重要的是,也可以变成商业资产和推动者,甚至可能是企业的竞争优势。因此,企业在因应GDPR所面临的挑战,如果可以顺利克服,也将可望成为企业的另一种商业资产。
也就是说,GDPR不仅是欧盟对于人权隐私保障的新指标,全球企业国家往来互动,都必须符合相关的规范外,更有甚者,GDPR甚至是欧盟和全球业者商务往来时,另类的贸易壁垒,“想要和欧盟做生意,就得搞懂欧盟对人权隐私的保障程度,进而从中了解欧洲人的商业运作逻辑。”他说。
图片来源/KPMG
想要快速了解GDPR这个最严格个资规范,企业要先掌握GDPR七大核心精神,包括:展现适法决心,设立资料保护官,建立合宜的政策、流程与技术,进行个资盘点与隐私冲击分析,以及,从设计与内建着手保护隐私等。
?
摄影/洪政伟
台湾勤业众信风险管理咨询顾问公司副总经理林彦良提醒,企业因应GDPR不仅是一份合规的工作,更重要的是,也可以变成商业资产,成为企业的竞争优势。
GDPR对企业带来冲击不只是法规层面台湾安侯企管顾问公司执行副总经理谢昀泽表示,目前而言,GDPR对于B2C业者带来的冲击影响比较大,包括:使用大数据分析与云端服务的企业;进行跨境资料处理的企业;控制或处理欧盟消费者资料的企业;或者是控制或处理欧盟特种个资的企业。
但相对而言,他也认为,GDPR对于B2B业者带来的冲击相对小,例如:使用一般电子系统处理个资的企业;于欧盟当地处理个资的企业;仅有欧盟员工资料的企业;以及只有处理基本个资的企业。
因此,要评估GDPR对企业带来的冲击程度,谢昀泽指出,只有单纯从GDPR法条内容看该法对企业带来的冲击是不够的,严格说来,该法对于全球企业带来严格法规遵循要求产生的贸易壁垒,将直接或间接影响各国国际贸易的往来情况。
举例而言,不论是由美国联邦政府出面,代表各州政府与欧盟28国及瑞士签订和美国往来的隐私盾协议(Privacy△Shield△Framework);或者是,在2017年由欧盟执委会推出的ePrivacy△Regulation(电子隐私条例草案),就是要将目前原本只适用于电信通讯服务业者的隐私保护规定,进一步扩展到新型态的电子网络和通讯服务业者。
甚至是,即将于明年三月完成脱欧程序的英国,通过制定新版的资料保护法(Data△Protection△Bill,DPA)接轨欧盟GDPR;最后是,由亚太区的亚太经合会和21个成员国与地区之间签订的亚太经合会跨境隐私保护规则(APEC△Cross△Border△Privacy△Rule,CBPR),上述这些法规命令的出炉,都会影响欧盟与各国贸易往来的情况。
再者,他也认为,各种隐私保护通用规则或是指引等,都会成为产业基准(Baseline),像是以欧盟资讯安全局(ENISA)因应GDPR要求时,也同时推出多个可供企业参考的资讯安全与数据应用保护建议的参考指引,例如,“Privacy△And△Data△Protection△By△Design△From△Policy△to△Engineering”,或者是“Privacy△By△Design△on△Big△Data”,甚至是“Recommendation△On△European△Data△Protection△Certification”等,都是很好的参考工具指南。
图片来源/KPMG
想要与欧盟做生意的台湾,该如何因应GDPR,KPMG提供了一个三阶段因应策略,建议政府从辅导产业的角度来介入,例如:辅导产业取得欧盟相关验证与标准,以降低台湾企业因应GDPR的门槛。
从企业与政府角度因应GDPR因应GDPR可以从企业和政府两种不同角度来看,谢昀泽指出,政府身为主管机关,应该要从法规制定、制定标准、冲击评估、国际协商、区域合作、政策指导、认知提升和资源筹措等角度,来协助企业有能力因应GDPR;而他说,针对受到GDPR影响的企业,则可以从角色与责任、治理架构、教育训练与人员认知、政策角度,协助企业更有能力因应GDPR对企业带来的冲击。
另外,谢昀泽表示,企业也可以从协助企业从作业流程面,包括:资料泄漏通报、资料保护冲击评估、隐私需求设计(Privacy△By△Design)、同意和告知管理、协力厂商管理、用户管理、资料主体权利和资料移转等;以及资料隐私核心资料库(处理记录),例如:隐私资料的类型、处理的目的、资料拥有者和限制等;加上稽核、控制、通报等风险管理的角度,都有助于受到GDPR影响的企业,慢慢有能力正向因应GDPR带来的冲击。
台湾不在欧盟允许跨境传输名单中,企业得自行申请核准不过,台湾整体产业在因应GDPR时,主要面临有三大挑战,谢昀泽说,首先,缺乏单一个资主管机关,因为GDPR是国际条约,台湾没有实质主管机关作为统一协调的窗口,也没有当责机构(Accountability△Agent)担任联络窗口征询产业意见,并发布相关准则、补充GDPR还未明确规范的空间,进一步订定国内一致性的符合性要求。
其次,“各产业个资保护水准不一,”他说,虽然GDPR罚则很高,但在台湾个资法相对宽松的前提下,许多企业缺乏因应GDPR的诱因,普遍处于观望的态度。
主要可以从几个面向来看,谢昀泽指出,像是个资定义、安全措施以及委外监督的落差;或者是云端服务或是跨国业务的适用,仍有不同的认定空间;加上台湾个资法适用的地域较窄、罚则较轻;以及告知义务宽松、个资处理较不透明;加上当事人权利、撤回同意应用状况不一时,都是各个产业对于个资保护程度不一样的主因,如同金管会对金融业个资处理的要求严格程度,就会比其他产业要求更严格一样。
最后,谢昀泽认为,因为台湾对资料保护的意识不足,欧盟认为,台湾对于跨国传送个资采用负面表列的作法,相较于欧盟正面表列、需事前申请获准的作法,显得过度宽松,且对于转送机制(Onward△Transfer)规定较为宽松,加上没有有效的保护机制,都使得欧盟认定,台湾在个资跨境传输的风险较大,所以,台湾并不在欧盟允许跨境传输的名单之中。
因为,台湾不在欧盟允许GDPR跨境传输的名单中,也同样不在APEC的CBPR的名单中,所以,在5月25日GDPR正式实施后,台湾企业想要将自家手上的大批欧盟民众个资,进行跨境传输(例如转移到其他国家,或从其他国家回传台湾)的行为,得自己另行申请GDPR的核准才行,或是想办法让使用者自行上传(使用者自己把资料上传到其他国家不违法),否则都会是违反GDPR的行为。
摄影/洪政伟
台湾安侯企管顾问公司执行副总经理谢昀泽观察,GDPR对于B2C业者的冲击较大,包括:用大数据分析与云端服务的企业、跨境资料处理的企业,以及控制或处理欧盟特种个资的企业。
国发会将打造因应GDPR平台台湾的各个中央目的事业主管机关,对于因应GDPR也都动起来了。国家通讯传播委员会(NCC)主要是台湾电信业者的主管机关,NCC法律事务处副处长黄文哲指出,原始台湾使用网络没有任何规范,但随着网络现在已经成为每个人生活不可或缺的一部分,也兼具内容供应商时,未来在修正数位通传法时,也必须纳入经营者资讯,并且提供相关的隐私保护政策以及资安政策等。
黄文哲强调,随着GDPR在今年5月25日正式实施,台湾的个资法也必须要配合思考GDPR,进行相关的修法,例如,GDPR强调当事人拥有个资的所有权,从资料自主性来看,未来台湾的个资法修法也应该纳入“被遗忘权”,以及提供并确保“当事人可以行使相关的个资权利义务”等内涵,都应该是台湾未来个资法修法时的方向。
GDPR和台湾个资法一样,不只是保护人权个资,还有发展产业的功能。国家通讯传播委员会平台事业管理处专门委员乔建中表示,欧盟打造的是单一数位市场,要如何平衡人权与经济发展是挑战。未来这些个资如何落地,就必须做到跨境资料传输,建立在以欧盟为主的资讯体系中,而中央目的事业主管机关也将不得不解决“台湾没有个资专责主管机关”的问题。
国家发展委员会参事兼法制协调中心主任林志宪表示,目前各个目的事业主管机关也都有因应GDPR,包括会建立一个平台,汇集所有与GDPR相关的基本资料和内容,先前联征中心也曾经针对GDPR条文进行翻译,也会思考如何通过授权方式,将这样的内容对外公开,而且,目前台湾政府已经要求各部会都必须要设置咨询窗口。再者,他指出,GDPR很重要的精神就是,所有的个资使用都必须征得当事人同意,尤其面对到个资的跨境传输,对于许多非欧盟国家的企业而言,更是必须克服的困难之一。
林志宪也以台湾先前从《电脑处理个人资料保护法》修法成为《个人资料保护法》时,刚好任职于金管会保险局,同步经历当时各个中央目的主管机关为了因应新版个资法,先行修正保险法中对于个资保护的相关条文,新增当事人同意的条款等修正内容。
台湾政府将出面和欧盟谈安全适足性认定政府如何协助企业因应GDPR的挑战?林志宪指出,政府将跟欧盟进行安全适足性的谈判,会由国发会和欧盟建立谈判的窗口,但是,欧盟GDPR的规范比台湾个资法更严格的情况下,加上,在此之前,台湾虽然有个资法的条文,但因为缺乏个资的独立机关,要与欧盟进行GDPR的安全适足性的谈判前,则必须先有设置相关的个资独立机关,才有利于和欧盟的谈判。“最终,台湾应该如何与欧盟完成安全适足性的谈判,是一大挑战。”他说。
什么是GDPR安全适足性?环奥国际验证公司总经理梁日诚指出,主要就是申请者当地整体个资保护的环境,例如法规、人权、自由、国防安全、公共安全,甚至是主管机关对于个资存取得法规保护、安全措施等规范,都和欧盟会员国的GDPR保护环境可以对应。当申请者该国对于个资保护的安全性获得欧盟认可后,该国企业就可以进行欧盟民众个资的跨境传输,而不会被认定是违法行为。
他强调,这其中又有一个必要的关键机构,那就是,申请者必须具备有效的资料保护权责机构,该国实施的个资保护法案和定期审查可被接受,而且,相关的要求都与第三国政府相关,必须由政府的主政机关协调各对应相关机构,了解要求与现阶段的差距,才能找出符合性证据与配套方案。
梁日诚表示,目前和欧盟已经完成安全适足性(Adequacy)认定的国家包括:安道尔、阿根廷、加拿大(以商业组织通过认定)、法罗群岛、格恩西、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭以及美国等12国家或组织。而日本与韩国,也在2017年G7高峰会的时候,积极和欧盟协商,希望可以通过安全适足性的认定。他认为,由于欧盟是台湾第五大贸易伙伴,台湾更应该积极与欧盟协商,尽快降低或免除个资跨境传输对台湾企业带来的影响。
梁日诚也说,目前安全适足性认定的申请,可以用第三国或第三国中某一个地域(Territory);一个或多个特定领域(Sector);或国际组织的方式来进行。目前加拿大则是以商业组织(Commercial△Organization)作为特定领域的方式达成,台湾则可以思考以目前参与的国际组织方式,作为和欧盟进行安全适足性认定的申请。
图片来源/环奥国际
环奥国际验证公司总经理梁日诚指出,欧盟是台湾第五大贸易伙伴,台湾政府更应该积极与欧盟协商,尽快降低或免除个资跨境传输对台湾企业带来的影响。
企业得选择申请BCR,才进行个资跨境传输除了由国家出面,和欧盟进行安全适足性认定的谈判之外,台湾勤业众信风险管理咨询顾问公司总经理万幼筠指出,企业还可以在以下四种条件下,进行个资跨境传输。他进一步解释,首先就是,个资离境至欧盟认为,可以提供充分隐私保护的地区,或被欧美隐私保护盾覆盖的国家或地区;其次,离境传输符合GDPR的豁免条件;第三,隐私资料输出方与接收方,签订欧盟认可的标准合约条款;最后则是,申请Binding△Corporate△Rules(约束性公司规章,BCR)。
万幼筠表示,BCR是供跨国公司采用的内部规则,它对同一集团内、不同地区实体之间的个人隐私资料传输,提供全球性的资料保护政策,其中包括对隐私资料类别、资料处理形式、资料处理目的、将受影响的资料主体等规定。
他也说,BCR可对同一集团成员间的隐私资料传输提供充分保护,因此,企业就不需要每次签署标准合同条款,也有助于节省资料当地语系化处理的成本,增强隐私资料保护当责制,并将资料保护和安全管理融入公司原有的制度体系中。
摄影/洪政伟
尽管台湾不在欧盟允许GDPR跨境传输名单中,但台湾勤业众信风险管理咨询顾问公司总经理万幼筠建议,跨国公司可申请BCR(约束性公司规章),就能在同一集团内传输隐私资料。
相关:
图片来源: Box 在2016年,云端储存服务商Box推出了Box△Zones服务,让企业内部资料也能符合资料落地(Data△residency)法规,除了加强安全性外,也提升组织对自家资料的掌握度。而近日Box近一步加强Box△Zones服务规
台湾趋势科技总经理洪伟淦(摄影/洪政伟) 台湾日前刚刚在立法院三审通过《资通安全管理法》,里面也纲要列举政府应该要提供资源,推动资安产业发展。不过,台湾趋势科技总经理洪伟淦有感而发说:“台湾真的要推动
Uber开始为司机、递送伙伴提供免费保险,但有资格门槛且只限欧洲18国
Uber全球争议不断,在台湾多次遭交通部重罚,一度因违法争议停止服务,而在2017年与租赁车业者合作,重新推出uberTAXI服务,并与租赁车业者合作提供叫车服务,而5月23日千辆计程车包围交通部,抗议未严格取缔Uber租赁
Canalys: Google智慧喇叭出货首度超越Amazon居全球第一
示意图,与新闻事件无关。 图片来源: Google Amazon△Echo向来是智慧喇叭的常胜军。但根据研究公司Canalys第一季智慧喇叭报告,Google△Home首度超越Amazon△Echo,拿下市场宝座。根据市场报告,上季全球智慧喇叭出
你还记得拥有的第一件外国货是什么牌子的吗?随着改革开放的进程,40年间,众多外资企业进入我们的日常生活。从最早的皮尔卡丹、松下电器,再到麦当劳、可口可乐,以及LV、轩尼诗XO等奢侈品,它们不仅是经济发展的助