企業因應GDPR不僅是一份合規的工作，更重要的是，也可以變成商業資產和推動者，甚至可能是企業的競爭優勢。因此，企業在因應GDPR所面臨的挑戰，如果可以順利克服，也將成為企業的商業資產。臺灣勤業眾信風險管理諮詢公司協理林彥良也指出當中的關鍵，進一步剖析了企業因應GDPR的10大挑戰。

捍衛當事人個資權益，個資外洩必在72小時內完成通報

首先，企業面臨到的挑戰，就是透明度的要求。因為GDPR要求捍衛當事人對於個資使用和保護的權利，所以，許多企業面臨的第一個問題就是，必須要立即更新大多數的隱私權聲明。由於GDPR對隱私資料的定義更廣泛，包括：個人實體、生理、遺傳、精神、經濟、文化或社會認同以及生物特徵資料等，甚至連最新網路科技可識別個人的IP位址或是Cookie等，都包括在個資的情況下，因此，企業必須要重新徵求當事人同意，確保企業可以合法使用這些個資隱私資料。

其次，企業必須要能夠捍衛GDPR賦予當事人可以行使的權利，包括：查詢、閱覽、複製、更正、限制處理、異議反對；GDPR的規定更強調，當事人有權行使被遺忘權，在條件符合下，像是已經達到資料蒐集的目的後，已經不需要留存個人的資料；個人撤銷同意權；或是以非法處理的過程，取得有問題的資料等，當事人都可以在不妨礙組織法律義務的同時，行使被遺忘權，要求刪除當事人個人資料；並且，可以透過資料可攜的方式，將資料轉交給競爭對手；此外，也有權要求當事人不同意企業使用其資料，做為大數據資料分析等自動決策，具有這些權利的保障。

對此，臺灣勤業眾信風險管理諮詢公司總經理萬幼筠指出，像是很多網站會要求當事人同意相關的隱私聲明，如果當事人不同意，也就無法使用該網站的服務。但根據GDPR的精神，即使使用者不同意網站的隱私聲明，仍應提供替代方案，讓使用者可以使用網站服務。

GDPR的第三項挑戰，就是要做到外洩事故通知。GDPR規定，外洩個資企業必須在72小時內，通報監理機關，不得過度延遲告知；如果外洩的資料將影響個人隱私、權力或法律利益時，屬於情節重大者，也必須通知到當事人。林彥良表示，企業則必須保存組織中發生資料外洩的內部註冊表單，重點在於，可以證明企業已經採取適當手段，防止個資外洩對個人造成的不利影響，而通知個人的義務，可以由監管機關酌情決定。

優先落實隱私衝擊分析，資料保護長人才缺口大

第四項GDPR的挑戰在於，企業必須落實隱私保護衝擊分析和風險評估。林彥良指出，企業在做衝擊分析時，也必須分配大量的資源，來制定有效的評估方案。他也說，處理自由及權利並伴隨高風險時，或者是處理程序開始之前，都可以分析隱私保護衝擊；另外，當面臨系統性及廣泛的自動化個別決策（包含資料剖析）時，處理大範圍敏感性資料時，以及大規模系統監控公共無障礙區域時，也都可以分析相關的衝擊。

而GDPR的第五大挑戰，則是企業必須指派資料保護長（DPO），將使得相關的專業人士供不應求。林彥良表示，GDPR規定，需要設置資料保護長的情況有四種，包括公務單位和機構、大量系統化監控個人資料的組織、大量處理敏感性個人資料的組織；以及歐盟會員國根據其法律要求設置等情況。而資料保護長的基本職責，除了告知並建議適當的資料保護方式，也負責監督隱私資料的保護，對企業隱私保護衝擊分析的結果提出建議，作為監管機構和企業間的窗口，並與監管機構配合。

萬幼筠表示，GDPR正式實施後，預計會需要28,000名新的資料保護長，而企業指定的資料保護長不一定要專職，但必須要「專責」並可以委外，最主要的目的在於，可以針對歐盟個資保護監理負責，並作為企業和監理機構之間的橋樑。因此，跨國企業可以將資料保護長的角色，全部都指定給同一個人或同一個團隊負責。

GDPR的第六大挑戰，是要重新評估，並做好針對第三方廠商的風險管理。因為GDPR列出針對資料處理者的明確要求，有很多是委外的合作廠商，對於企業而言，必須要盤點委外合約，確認是否涵蓋GDPR的隱私保護要求條款，甚至必須要重新簽訂合約，才能做到符合GDPR的要求。

GDPR的第七項挑戰，在於必須做到記錄保存，他指出，企業須識別和清點處理個人資訊的過程和系統，並將所有的登入、登出和使用記錄都做保存；同時，將某些資料處理活動中所建立和保留的記錄儲存下來，一般而言，這部份工作必須涵蓋處理目的、資料類別、資料受體類別和保留期限等。通常，這也是為了預防萬一，因為爆發個資外洩的事件時，企業也必須透過這相關的資料，證明自己已經善盡善良管理人之責。

個資跨境傳輸規範多，臺灣政府可從尋求歐盟法規豁免著手

在第八項GDPR的挑戰當中，企業要注意，GDPR對於資料跨境傳輸有諸多限制。林彥良表示，如果企業或組織可以根據合約範本，綁定公司規章，以及獲得歐資資料保護認證的情況下，並有適當的控制措施確保對個人資料充分保護，就不需要具體的資料保護權責機關（DPA）授權；但是，若不是面對歐盟司法或行政機關需要揭露隱私資料時，地方或主要資料保護權責機關則需要提供授權。

目前，歐盟同意國際個資傳輸的前提，包括：必須要資料接收方位於歐盟經濟區（EEA)內；同時，本身也是歐盟成員國隱私保護主管機關核准的國家；並在適當保護和特定情況下，可以跨境傳輸個資。其中，適當的保護措施，則包括：綁定公司規章，標準化的保護條款，特定資料保護權責機關授權，經核准的行為準則和認證。

萬幼筠指出，因為GDPR已經是全球資料保護的新基準，對於資料跨境保護的要求，已經影響許多的國家和區域的法律規定，而這些區域都是臺灣主要貿易對象，也意味著GDPR將直接或間接影響臺灣，像是歐盟28國及瑞士對美國的資料跨境傳輸就依賴隱私盾協議（Privacy Shield Framework），亞太區21國家和地區則會透過APEC跨境傳輸隱私規範（Cross Border Privacy Rule，CBPR）和GDPR對接；至於即將脫歐的英國，則在去年9月14日公佈新版的資料保護法案（Data Protection Bill，DPB），取代1998年舊版的資料保護法規（Data Protection Act，DPA）並符合GDPR的規範，以確保英國脫歐後還能繼續與歐盟國家共享資料。

萬幼筠也表示，日本、韓國都在2017年G7高峰會期間積極和歐盟協商，希望如同美國簽訂隱私盾協議一樣，成為GDPR法規豁免的國家，但歐盟認為日本既有的個資保護法律的強度不足，而臺灣的個資法跟GDPR仍有落差，但政府未來是否可以透過修法，強化臺灣個資法的強度，並積極與歐盟協商取得法規豁免，則是我國政府可以努力的目標。

在GDPR的第九項挑戰當中，萬幼筠認為，Privacy By Design（預設隱私設計）是所有產品、系統和流程的基礎。他進一步指出，技術和組織措施必須確保資料保護需求，也要盡量減少蒐集和使用資料；在預設情況下，只處理每個特定處理目的所需要的個人資料，並且為人性化的預設隱私設置，也可使用其他包括去鏈結化或隱私增強技術。

企業遵循這項規範的最後一項挑戰在於，GDPR的重點不是過程，而是目的，是一場需要組織通力合作才能克服的挑戰。因為，因應GDPR作法時，IT部門要承擔很大的責任，卻沒有辦法接收到足夠的內外部資源，提供協助以落實法遵，這也使得IT部門承受極大的壓力。因此，如何讓需要IT部門來協助執行的法遵議題實施過程，也能從其他部門獲得極大的助益，是企業所有部門都應該正視的課題。

企業因應GDPR的十大挑戰

｜挑戰1｜更新當事人同意隱私聲明

｜挑戰2｜捍衛當事人個資權益

｜挑戰3｜個資外洩72小時內通知監理機關或當事人

｜挑戰4｜落實隱私保護衝擊分析和風險評估

｜挑戰5｜指派資料保護長（DPO）

｜挑戰6｜做好第三方廠商的風險管理

｜挑戰7｜做好記錄保存

｜挑戰8｜個資跨境傳輸規範

｜挑戰9｜Privacy By Design（預設隱私設計）

｜挑戰10｜全組織通力合作

資料來源：臺灣勤業眾信，iThome整理，2018年3月