原标题:【台厂进军欧洲市场的新考验】因应GDPR的关键第一步,先彻查所有个资的使用目的
台湾NAS业者群暉科技在欧盟市场销售成绩不俗,加上在欧盟国家有分公司,因此如何因应欧盟通用资料保护规则(GDPR),则成为该公司在5月25日GDPR正式实施之前的重要挑战。因此,群暉科技从去年7月开始,进行内部各个部门的个资盘点和影响评估,并于去年9月~今年3月,由资讯、资安和产品等三个部门合作,进行相关的流程优化与改善。(资料来源:群暉科技提供,iThome整理,2018年5月)
在网络储存设备业者中,总部位于台湾的群暉科技,一直是NAS界的领头羊业者之一,包括台湾、美国、澳洲、日本甚至是欧盟等,都有庞大的客户群,也同时提供相关的私有云服务。
群暉科技产品专员牟芳萱表示,该公司因为也针对客户提供私有云服务,加上各国对于隐私议题越来越重视,以及该公司在欧盟有设立分公司等相关因素,也都必须全力因应欧盟于今年5月25日正式施行的欧盟通用资料保护规则(GDPR)。
由台湾总公司主导因应GDPR,个资盘点是第一优先“当群暉科技要开始因应GDPR时,最重要的关键就是要做到个资盘点。”牟芳萱表示,个资盘点主要是要收集使用者的个资及流向,跨部门进行,包括产品、研发、人资、财会、资讯、客服等总共10个部门,同时进行包括台湾总公司和欧洲分公司的个资盘点。
至于该如何执行个资盘点的程序呢?牟芳萱认为,最重要的一件关键任务就是,必须要能明确确认,当初该公司取得消费者个资时的使用目的为何?以及,现阶段群暉科技各部门内所拥有的个资,是否还是符合当初的使用目的?一旦确认不符合,她说,相关的个资就必须在安全的情况下不再利用,包括删除个资等方式,都是可行的作法。
群暉科技在因应GDPR时,和其他欧盟国家差别点在于,“台湾总公司是扮演主导的地位,由总公司推动欧盟分公司因应GDPR的规范,”她指出,当然,还是有一些事项欧盟分公司有地利之便,会由分公司主动推动,例如聘雇欧盟当地分公司的资料保护长,但整体因应GDPR法规遵循的发起者,则是由总公司负责带头推动。
个资盘点时也必须确认资料搜集的管道和使用用途是否合法,个资当事人是否有被告之个资使用目的,其他像是资料存放的安全性、存放时间、存取控管机制以及风险评估等,都是群暉科技在进行个资盘点时,都必须全盘纳入思考的重点。
在进行影响评估时,牟芳萱表示,群暉科技必须从资料的内容、敏感度、是否加密等面向来看,如何进一步做到流程优化。例如,在资料收集的部份,就必须确认是否已经取得当事人的同意授权;资料应用上,是否可以合乎最小权限原则,避免过度使用当事人个资;资料保存部分则必须通过系统整合,做到自动化处理,减少人为因素带来的误差;最后,在资料追踪上面,则要紧记要尊重当事人被遗忘权的处置方式,当事人有权请求行使当事人权利中的被遗忘权,不是所有的事情,都可以被搜寻引擎永久记住。
“在整个环节中,因应GDPR最后的关键就是,该如何落实稽核的环节,”她表示,群暉科技的资安政策制定便规定,该公司每半年都会进行稽核自评一次;除自评之外,也会委由公正第三方业者协助进行内部相关的稽核。
除了稽核之外,欧盟的GDPR还要求企业要指定资料保护长(DPO)这个角色,目前,群暉科技会在总部以及欧盟分公司都指定资料保护长,但欧盟分公司的资料保护长,会以当地人为主。不过,她指出,要协助企业落实GDPR,不能只有资料保护长单打独斗就够了,仍需要有相关的团队和顾问等,协助资料保护长完成欧盟对于GDPR的规范和要求。因此,群暉科技也在思考是否适合将资料保护长的角色委外。
群暉科技产品专员牟芳萱表示,因应GDPR的小组成员中,纳入资讯、资安以及产品部门,才能彼此合作。(摄影/洪政伟)
因应GDPR的组织调整,纳入产品、资讯和资安部门因应个资保护,群暉科技原本就有组成一个资料管理委员会(Data△Management△Committee),包括这次因应欧盟GDPR,总共纳入三个组织,包括群暉科技的产品资安事件应变小组(Product△Security△Incident△Response△Team,PSIRT),资讯科技(IT)部门,以及产品管理部门等,都有指派相对应的种子成员参与该委员会,也会负责参与因应GDPR的相关事项。从流程优化到组织调整,都是群暉科技为了因应GDPR所做的努力之一。
随着物联网时代来临,牟芳萱表示,这次GDPR对于个资的认定与规范中,也加入科技的意涵,像是很多IP位址、Cookies等,都被视为个人资料的一环,以群暉科技提供的NAS产品为例,其中有一个服务是协助使用者找寻内网的NAS设备,一定要允许存取IP位址才有办法使用这个服务。
群暉科技这次在盘点各个部门所拥有的个资中,就提供类似上述这样的服务时,就必须要因应GDPR规范有所调整,因此,群暉科技就会跳出新版的使用者同意个资使用的条款,要求使用者允许群暉科技搜集相关的IP位址,以提供可以搜寻内网NAS设备的服务。
由于,群暉科技不像其他跨国公司为了网络行销而搜集使用者个资,牟芳萱指出,该公司个资最大宗使用者其实就是客服部门,包括总部和欧洲、日本的分公司等,都有不同的在地客服团队,协助消费者解决使用上的困难。
以客服部门遇到情况为例,至少要知道消费者的姓名、电子邮件等,才能够提供相对应的解决方案以解决消费者遇到的困难,但她也说,还是难免有一些状况比较复杂,并不是第一线客服人员有能力解决,可能必须委由台湾总部的研发部门提供协助,除了在流程上,如何做到更有效率外,立即面临的困难就是欧盟民众个资“跨境传输”议题。
她进一步指出,要从欧盟将客户个资跨境传输,除了必须征得当事人同意外,第一线客服人员在把客服案件转到总部的研发部门时,也必须思考到,到底有哪些是必要提供给研发部门知道的客户个资,是否可以适度的通过遮罩等方式,提供必要的最小使用权限的个资内容给研发部门即可。她表示,通过重新审视整个资料传输的流程,就可以知道,群暉科技在使用客户个资时,是否有过度扩大使用的情况。
从开始进行个资盘点到流程优化,至少花快一年时间因应严格说来,群暉科技因为在德国有设立分公司,因此GDPR一公布的时候,内部就已经有进行讨论,规画该如何因应这个新版的欧盟个资保护规定。但牟芳萱表示,一直到2017年7月,台湾总部带头,和分公司陆续开始进行跨部门的个资盘点以及初步的风险评估。
牟芳萱指出,整个个资盘点和风险评估的过程大约耗时二个月,但接下来怎么进行流程优化,让所有的个资使用都可以达到最小使用目的的原则,并且做好妥善的处理和利用,才是最花时间的。因此,从2017年9月开始,一直到今年3月为主,群暉科技大概花了七个月以上的时间,进行流程优化,并且和IT部门紧密合作,检视个资在各个不同部门流动时,应该如何调整使用方式,以便符合GDPR的规范。
她也强调,好的流程调整往往必须与企业内部的系统,有好的配套方式,才能真正做到好的流程调整。因为和资讯部门紧密合作,所以整个流程优化的过程中,除了将个资做去识别化之外,也通过敏捷管理的专案管理方式,“边做边调整、边做边确认”,以期能达到预期流程调整目标。
欧盟GDPR规范中,她也特别指出,每个个资当事人都有权拒绝大数据分析的过程(也称之为剖析),群暉科技因为没有执行过多的网络行销活动,也没有利用自动化工具做相关的资料分析,在大数据分析这个部分,则不受影响。
从个资盘点到影响评估一直到流程优化,牟芳萱表示,检视资料使用最少化原则,例如,各部门不要用的个资,都尽快删除,并和顾问公司合作,调整内规,并将整个过程做成该公司内部的标准作业程序(SOP)。
企业推动资安,心态转变最难牟芳萱表示,安全和便利一直都是天平的两端,要如何让这个天平可以获得良好的平衡,要大家习惯“追求安全的过程,难免会牺牲一些便利”,一切都必须从针对使用者教育训练着手,通过转变使用者对于安全的概念,“这种Mindset的转变,往往是企业推动资安的过程中,最难突破的关卡。”她说。
她指出,对群暉科技而言,资安教育训练没有做好,就会让资安流于口号,无法解决员工的疑虑;而通过密集的资安教育训练和回答员工对资安推动过程中的疑问,就是落实资安的过程。
整体而言,GDPR的推动比较偏向调整企业内部的流程细节,和相关的政策调整,她说:“因为因应GDPR的过程中,包括资讯部门、资安部门和产品部门都紧密合作,推动过程更为顺利。”
牟芳萱表示,群暉科技全公司员工大约6百多人,整个GDPR团队成员大约6人。在过去一年以来,该公司也针对软件部分,重新取得使用者同意,并且更新相关的隐私条款,也重申,未来所有的行销活动时,都不会让消费者个资使用的同意权,超出原本的使用目的,更不会二度用于其他连带的行销活动中。也就是说,未来群暉科技即便推出相关的行销活动,都不会“预设使用者同意将个资提供给群暉科技行销之用”。
再者,资料可携性的部份,以社交资料为主,该公司则以群暉的帐号为主,“只要使用者有资料可携的需求,告知所需资料的隔定,就能提供。”她表示,至于其他像是遗忘权的提出,则会以更透明化的方式因应,少数如欧盟要求产品购买凭证,必须保留10年之外,其他的资料都以透明化做最高目标。
因为群暉科技有纳入产品部门一同因应GDPR,牟芳萱指出,该公司也将预设隐私(Privacy△By△Design)准则,进一步延伸为该公司产品安全时的预设标准,相关的个资保护处理除了加密外,也会做到将个资去识别化,同时作内规调整,做成SOP(标准作业程序)。
“因应GDPR的流程,是没有任何捷径,必须一步一脚印,才不会误踩地雷,”她指出,通过事先定义高中低的风险为何,加上敏捷的专案开发,都可以减少,产品对内或对外不必要的使用目的。
?群暉科技会员注册如何因应GDPR?步骤1?群暉科技提供搜寻内网NAS装置的Find△Synology服务,因为需要取得IP位址才能进行搜寻,而IP位置在GDPR中,则视为个资内容。是故,群暉科技也趁因应欧盟GDPR之际,重新修正该服务的个资使用目的,告知当事人必须同意群暉科技可以搜集IP位址,才能提供该服务。(图片来源/群暉科技)
?
?步骤2?群暉科技的套件中心是该公司与消费者接触的第一步,所有的合约与软件授权,都基于这个合约才能提供。欧盟GDPR要求企业,必须提供当事人行使相关的个资权利,未来当事人可以因此要求该公司删除个资内容。(图片来源/群暉科技)
?
?步骤3?群暉科技必须针对欧盟GDPR对于个资保护的要求,重新调整相关的隐私权声明,最重要的内容调整之一就是,GDPR将包括IP位址以及Cookies等,都视为个资的一部分并整合成一份文件,借此减少重复并提高透明度。(图片来源/群暉科技)
?
?步骤4?群暉科技的Synology△Account,将会整合未来所有消费者的帐号资讯,这也会是该公司和消费者往来认定的使用者代号。将会针对不同的使用者特色,区分成个人用途的家庭用户,以及商业用途的企业用户两种。而这也是未来当事人行使个资权利的最终标的。(图片来源/群暉科技)
?
?步骤5?注册群暉科技Synology△Account时,提供包括亚洲(中国)、欧洲、北美洲、大洋洲等选项,群暉科技透露,因各国对于个资隐私都有不同规定,当中国禁止个资跨境传输时,该公司就必须在当地存放中国使用者个资。(图片来源/群暉科技)
?
?步骤6?群暉科技Synology△Account通过新版的隐私权声明,重申该公司对于消费者个资保护的责任和义务,从该项声明中,宣称会保护消费者使用www.synology.com网站,及使用该公司NAS产品相关个资的安全性等。(图片来源/群暉科技)
相关:
【台北101如何因应GDPR】总经理带头力推个资保护认证,年年2次个资盘点方法大公开
在台北101大楼购物中心B1的退税服务柜台,每年必须处理许多外国旅客退税相关事宜,而在这些国际旅客的退税资料中,他们就将面对到不少欧盟公民的个资。(摄影/洪政伟) 自5月25日,欧盟通用资料保护规则(GDPR)正
号称世上最严格的资料保护令GDPR已经在上周5月25日上路,各国大型企业不无严阵以待,就怕触犯该天条,吃上巨额罚款。而使用云端服务的跨国企业,更得要注意,自家服务是否有符合各地法遵要求。而因应GDPR上路,微软近
示意图,与新闻事件无关。 图片来源: LA△Times 《欧盟通用资料保护规则》(EU△General△Data△Protection△Regulation,GDPR)在上周五(5/25)正式实施了,尽管各大业者皆兢兢业业地部署符合GDPR的隐私条款,但
面对GDPR,大企业无不严阵以待,也有不少小型的网络服务因为缺乏资源无力配合GDPR规范,宣布停止对欧洲用户的服务。 GDPR法遵难支援,开源即时通讯软件Monal停止欧洲地区服务随着欧盟最严格的个资法GDPR在5月25日上
热门书签服务Instapaper因GDPR,突暂时停止服务欧洲用户
Pinterest旗下热门的书签服务Instapaper在欧盟新个资法GDPR正式生效前一天,突宣布其服务从5月24日起,暂时停止服务欧洲用户,直到他们完成调整系统,确认符合GDPR后才会重新服务欧洲地区。Instapaper给用户的E-mail