面對來勢洶洶的歐盟一般資料保護規則(GDPR),除了給予使用者更高的資料自主權外,與歐盟境內公民有業務往來的企業,若有不慎,也可能面對巨額的罰款。企業與其單打獨鬥,不如尋找夥伴一起強化資料的安全防護機制。企業可交由專業的第三方夥伴協助處理數據資料以提升企業應對GDPR的防禦力。
今別年5月25日起,只要企業的營運業務有與歐盟公民接觸的可能,就不能置身事外,得因應GDPR做好準備。因為,違規者最重將被判罰2,000萬歐元(約7.2億新台幣),或是前一年度全球營業額的4%(取其高者),其影響範圍與規模之大,企業不可不慎。
資料控制者(Data Controllers)與資料處理者(Data Processors)都是GDPR的監管對象。前者是指單獨或與他人一起決定要如何處理個人隱私資料的單位,後者則是指協助資料控制者處理個人資料的單位。因為「處理」這個動作涉及的層面很廣,包括組織、改編或更改訊息,檢索、搜尋或使用訊息,傳播或披露訊息,以及比對、整合、確認、刪除或毀損等動作,再加上GDPR針對資安外洩事件必須在72小時內通報等規範,因此如何選擇合適的資料處理者合作夥伴成為關鍵,建議企業找尋有相關經驗的業者提供協助。
舉例來說,在新世代雲端服務架構逐漸取代既有資訊系統架構的現下,企業在尋找雲端夥伴時,建議選擇可遵守歐洲雲端基礎服務企業聯盟(CISPE)提出「雲端基礎服務業者資料保護行為準則(Data Protection Code of Conduct for Cloud Infrastructure Service Providers)」的雲端服務業者提供服務,因為,該準則不僅涵括軟體即服務(SaaS)、平台即服務(PaaS)與基礎建設即服務(IaaS)等業務,對於資料隱私、安全與資訊治理的要求與GDPR的嚴格要求一致。
值得特別注意的是,「雲端基礎服務業者資料保護行為準則」源自於用來確保企業安全的國際標準ISO 27001以及用來確認雲端服務安全的國際標準ISO27018標準,目前,正參考因應GDPR而生的國際標準ISO 27552作調整與優化。
「雲端基礎服務業者資料保護行為準則」的與時俱進與完善,是促成IBM自2017年5月開始,先後簽署24個符合該準則的IaaS與PaaS服務的原因,更重要的是,歐洲雲端基礎服務企業聯盟會持續不斷記錄與監控雲端服務供應商是否有依照準則提供雲端服務。因此,企業可以放心的交由符合規範的雲端服務業者處理跟個人隱私有關的數據資料,降低企業暴露在違反GDPR的風險以及花費在GDPR的資料處理負擔。例如IBM Cloud在歐洲擁有16個資料中心,因此,企業客戶可選擇將跟歐洲業務有關的數據資料留在歐洲,以符合必要的資料離境規範。結合平台上提供的多樣安全性與災備服務選項,為資料提供更進階的資料加密、備份自動化,能更全面管控風險。
<本文作者:許仲言,現為台灣IBM公司雲端運算事業部總經理。>