在全球最重視個人隱私權的歐盟,自2016年4月由歐洲議會通過一般資料保護規定(General Data Protection Regulation,GDPR)後,經過兩年的過渡期,預計今年(2018年)5月25日上路,取代現行的9546EC隱私保護指令,目前已成為全球企業與組織高度關注的隱私權法規。
GDPR之所以引發全球熱烈討論,台灣微軟公共暨法律事務部副總經理廖怡苓觀察,主要是過去歐盟頒布的法令,不大會出現境外適用的狀況,GDPR可說是首例,其適用對象除了歐盟境內的企業組織,同時包含向歐盟人民提供產品與服務,以及蒐集與分析歐盟居民資料,即使組織位於歐盟境外同樣適用。
針對個人隱私保護範圍,不僅是傳統認知的個人可識別資訊,包含連線IP位址、瀏覽網頁Cookie、地理位置等數位隱私皆屬於保護範疇。也就是說,公司的網站只要出現來自歐盟區域的連線存取行為,尤其是註冊成為會員留下個資,就必須符合GDPR規範。且一旦發生資料外洩,強制須於72小時以內向主管機關通報,並說明整體狀況、影響層面、目前因應措施。經判定違反GDPR規範者,最重可罰2千萬歐元(約台幣7.2億元),或前一會計年度的全球營業額4%,較台灣的個資法更加嚴厲,對於仰賴網站營運業務的跨境電子商務、雲端服務、觀光旅宿業等,不可不謹慎看待。
明確定義資料主體、控制者、處理者義務
|
▲台灣微軟公共暨法律事務部副總經理廖怡苓建議,GDPR合規性會影響組織、人員、政策、技術,須由專屬團隊來推動,其中亦包含資料保護官的角色,進而諮詢法律專家的意見,以制定計畫與估算時間。 |
統整GDPR為企業與組織帶來的變化,廖怡苓指出,首要是針對資料主體的隱私權保護,明文規定個人主體所具備的權利,包含存取、錯誤更正、刪除、反對處理方式,甚至是移轉;自然人有權向資料控制者索取複製檔案,或轉換控制者。
「所謂的資料主體,在GDPR角色定義即為個資本人;資料控制者則是決定蒐集的資料種類與應用方式,依照控制者指令執行則屬於資料處理者。」廖怡苓說。資料控制者須遵循GDPR規範,制定組織性、技術性的資料保護政策,並實施相關控管措施。
首先,在蒐集之前要說明資料處理目的與使用狀況,以及定義資料保存與刪除政策。針對法律有規定必須通知的事項,資料控制者必須先取得主體人的同意,例如蒐集的資料內容與目的、保存的時間與原因等細節,而且必須淺顯易懂。開始執行資料處理後,相關的儲存、應用等記錄皆須予以保存,且儲存只應該被運用在須處理的時間內,之後必須確實刪除。萬一資料處理並非為資料控制者執行,而是委由外部廠商,則控制者與處理者之間必須簽訂明確的合約事項,藉此確保委外廠商者也遵守GDPR規範。
前述主要是作法上與手段上的影響,對於組織而言,法律也有規定資料控制者要培訓內部員工,並非只採用IT措施得以解決。甚至在一定的要件下(例如常態性且系統性大範圍監控自然人的網路行為),資料控制者須聘僱資料保護長(DPO),較常見的是公務機關,抑或是處理資料涉及種族、政治意見、個人基因與健康、犯罪記錄等內容,就必須要有資料保護長,直接向管理核心層報告。
總體來看,GDPR上路後對資料處理的影響,廖怡苓說明,首先是要採用管理工具來建立資料透明度、記錄與保存處理行為、定期提出報告;其次是更新資料保護政策,以提供資料主體之控管,並確保處理之合法性;第三點則是針對個資儲存與使用建立嚴格控管機制。
國際級雲端服務管理 為合規奠定基礎
|
▲台灣微軟亞太區技術支援中心資訊安全暨風險管理經理林宏嘉提醒,面對國際性法規遵循,從企業整體競爭力與風險管理的角度切入,才是正確的方向,而非僅談因應之道。 |
「身為雲端服務供應商的微軟,為了讓用戶了解微軟提供的服務項目已遵守GDPR規範,因此在合約中,明文承諾從2018年5月25日開始會具備合規性要求,可說是首家對客戶做出契約承諾的雲端服務供應商,目標當然是提供合規的雲端服務,讓客戶可直接採用,以簡化法規遵循帶來的影響。」廖怡苓說。
她進一步說明,採用雲端服務之所以可提高隱私保護,首先是藉此達到統一處理,以簡化資料分類、分級控管,不論是靜止或傳輸中的檔案皆可施以加密保護;其次是雲端服務平台已取得相當多的認證,比如說最基本的ISO 27001、雲端服務的ISO 27018等法規,使用已經符合各種嚴格國際認證標準的雲端服務,將可協助客戶因應新法規的要求。
就隱私權而言,微軟提供的保護,已符合歐盟的標準條款。歐盟本就有定義個資離開境內後必須符合的規範,當然境外的保護措施理應更高,現階段常見做法是符合歐盟規定的歐盟示範條款(EU Model Clauses);另一種是美國與歐盟制定的隱私盾牌(Privacy Shield),只要符合此規範,即可把資料從歐洲傳送到美國。「如今面對GDPR,儘管規範更為複雜、嚴謹,但微軟已有豐富的法規遵循經驗,足以協助客戶達成合規目標。」廖怡苓強調。
問題是現階段本土多數企業的思維,就如同當年台灣個資法將上路之前,抱持觀望心態居多。台灣微軟亞太區技術支援中心資訊安全暨風險管理經理林宏嘉觀察,從實際接觸的大型企業客戶來看,即便業務範圍包含歐洲,也認知到必須符合GDPR要求,卻遲遲無法決斷,究其原因在於單一法規遵循須投入的人力與成本過高。
他指出,其實微軟雲端服務提供的功能性皆已涵蓋法規要求,例如地端與雲端的資料,經過Office 365提供eDiscovery執行盤點之後,IT管理者可透過GDPR儀表板來查看合規達成率,並指出機敏檔案保護不足之處,如此一來,即可藉此改善保護等級,降低資料外洩風險。