GDPR並不是對所有領域產業都會造成一樣大的衝擊,端視企業內部到底擁有多少歐盟公民的資料,才能進行判定,唯有了解在交易過程、服務或是產品銷售的過程中,有哪些環節會儲存或處理歐盟公民的個資,才能判斷與評估,並且妥善規畫減少其衝擊性。
即將實施的歐盟個人資料保護規則(General Data Protection Regulation,GDPR)業已進入緊鑼密鼓倒數階段,這項法規主要是針對隱私權、安全性和合規性設定了一套新的標準,用來取代已經實行20餘年的資料保護指令(Directive 95/46/EC)。由於GDPR定義的個人資料非常廣泛,不論是存放在客戶資料庫、客戶所填寫的意見反應表單、電子郵件內容、相片、監視錄影片段、消費集點記錄、人力資源資料庫等,只要資料涉及歐盟公民,即使並未儲存在歐盟境內,還是必須遵守GDPR,否則可能招致強勢執行的鉅額罰款。
相較於國內個資法只限於國內本島,GDPR的適用範圍,除了歐盟會員國之外,還包含了外國企業組織,受規範的範圍將更廣泛,台灣華睿泰科技(Veritas Technologies)技術顧問協理孫秀婷指出,「國內受到衝擊的產業包含了航空業、醫療產業,另外國際化企業若有聘僱歐盟公民,也會受到規範,而銀行與保險業若在歐洲設有據點提供開戶服務,更會受到影響。」
她提到,以往有許多企業對法規遵循並不是那麼看重,罰則過輕是其中一項原因,但GDPR不同,這項法規對違反資訊披露和保護個人資訊違規,實施更嚴厲的處罰,對於嚴重違法,例如個資處理之基本原則、個資傳輸予境外第三方等,罰款上限是2,000萬歐元或前一財務年度全球營業額的4%。」孫秀婷強調,並不是出事的分公司或區域組織營收的4%,而是全球營業額的4%,企業務必審慎看待。
從個資盤點開始
事實上,GDPR於2016年4月已正式成為歐盟的法律,延至2018年5月25日生效主要是為了讓涉及的企業有足夠充份的緩衝期,以便能有最佳因應舉措。IBM全球資訊科技服務部解決方案協理徐偉倫指出,GDPR並不是對所有領域產業都會造成一樣大的衝擊,端視企業內部到底擁有多少歐盟公民的資料,才能進行判定,唯有了解在交易過程、服務或是產品銷售的過程中,有哪些環節會儲存或處理歐盟公民的個資,才能判斷與評估,並且妥善規畫減少其衝擊性。
舉例而言,台灣ODM或OEM的代工業者轉型以自有品牌銷售產品,確實可能會處理到多樣個資,特別是附有感測器與智慧功能的產品,情況可能更為明顯。當企業為了提供使用者更好體驗,希望使用者自行登入個人資料,以便提供提早預警的資訊或是提供App,藉此收集使用者的習慣、興趣與年齡層等等資訊時,就會受到GDPR的規範。但反觀,若企業只是工具機出口到歐洲,甚至到歐洲之後還有代理商或經銷商,GDPR對這類型的企業衝擊並不大。
|
▲台灣華睿泰科技(Veritas Technologies)技術顧問協理孫秀婷指出,包含了航空業、醫療產業以及在歐洲設有據點的銀行與保險業等,都會受到GDPR影響。 |
在確認企業內部到底擁有多少歐盟公民的資料後,下一步則是從法規的層面探討GDPR對這些資料的規範為何?如何從流程或方法來進行改善?在法律層面之外,技術層面是否也需強化?例如資料需不需要加密保護、傳輸過程是否安全、資料外洩時有無通報機制,以及資料在企業內部處理時有無權限的控管等等,最後才是GDPR Ready,以確保符合法規要求。
他提到,歐洲對於隱私其實相當重視,早在多年前就有相關規範,在多數的情況下,合規GDPR並不需要從零開始。例如航空公司或銀行分行駐點在歐洲,當地的銀行經理單位或是當地的主管機關或多或少已有規範,因此,在面對GDPR時,企業還是要先評估對企業造成的影響,無須反應過度。
當然,最好的方法是不該收集的資料就不要收集,但若真的需要,就必須隱碼化(去識別化),或做好相關的措施,以降低風險。另外,GDPR要求,若是發生資料外洩,企業應該在72小時通報主管機關,如果事先不準備,等到施行後緊急要建立起這個機制,將會緩不濟急。
善用技術查找資料
隨著企業組識儲存的資料量愈來愈大,愈是掌握資料,就有可能保留過多個人資料,這也將提高企業風險。台灣華睿泰科技(Veritas Technologies)技術顧問協理孫秀婷認為,GDPR是一個複雜的要求,並不能單靠技術來解決,但是企業可以結合適當的技術解決方案擬定正確的業務流程。
舉例而言,掌握企業擁有的歐盟公民資料,是符合GDPR的第一步,企業有必要建立一個資料地圖,了解資料被誰存取、儲存了多久的時間等等訊息,這時就可以運用Veritas Information Map來取得相關的資訊。這項方案並不需要到企業環境中安裝任何的代理程式,透過分析備份的資料,就可以知道前端所有的資料分布情況,該資料是位於全球那一個資料中心內的那一台主機,在這個路徑中有哪些資料在裡面,甚至於儲存在雲端的資料,也可以一併納進來分析。
|
▲ IBM全球資訊科技服務部解決方案協理徐偉倫建議,如果企業為了因應GDPR而需要改變基礎架構,不妨考慮使用公有雲。因為公有雲業者為了要服務全球客戶,勢必要符合各國法規的規定,選擇GDPR Compliance Ready的公有雲服務供應商,可大幅降低風險。 |
運作原理主要是透過接收Veritas產品的Metadata,從中分析資料分布區域以及資料含量。目前Information Map已與NetBackup備份軟體進行整合,如此一來,從備份的Catalog就能分析各個資料中心的位置、資料含量,再往下可分析出資料類型以及不同類型的資料量,甚至包含檔案多久未被存取等訊息都一目瞭然。
另外,Data Insight也把大部分的法規都納入,只要把相關的法規打勾,Data Insight在掃描內容時,就會告知這個被保護的資料是跟那一個法規有關係,並且給予風險等級。
針對完全沒有頭緒,不知如何符規的企業,Veritas也有顧問團隊提供一套完整的GDPR諮詢服務。首先Veritas團隊會先與企業內部的關鍵部門或利益相關者進行會議討論,讓參與者對GDPR有一個全面的認識,並且進行簡單的技術評估。而後再對企業現況和準備進行綜合評估,包含藍圖規劃、資料分類,評估有那些資料具有隱私性,這個階段可能耗時8至9周。接著針對範圍給出產品施行建議,例如Data Insight、Enterprise Vault等以及制定GDPR的流程、政策並且提出報告,最後是優化數據資料,對結構與非結構化資料清理與識別。