臺灣NAS業者群暉科技在歐盟市場銷售成績不俗,加上在歐盟國家有分公司,因此如何因應歐盟通用資料保護規則(GDPR),則成為該公司在5月25日GDPR正式實施之前的重要挑戰。因此,群暉科技從去年7月開始,進行內部各個部門的個資盤點和影響評估,並於去年9月∼今年3月,由資訊、資安和產品等三個部門合作,進行相關的流程優化與改善。(資料來源:群暉科技提供,iThome整理,2018年5月)

在網路儲存設備業者中,總部位於臺灣的群暉科技,一直是NAS界的領頭羊業者之一,包括臺灣、美國、澳洲、日本甚至是歐盟等,都有龐大的客戶群,也同時提供相關的私有雲服務。

群暉科技產品專員牟芳萱表示,該公司因為也針對客戶提供私有雲服務,加上各國對於隱私議題越來越重視,以及該公司在歐盟有設立分公司等相關因素,也都必須全力因應歐盟於今年5月25日正式施行的歐盟通用資料保護規則(GDPR)。

由臺灣總公司主導因應GDPR,個資盤點是第一優先

「當群暉科技要開始因應GDPR時,最重要的關鍵就是要做到個資盤點。」牟芳萱表示,個資盤點主要是要收集使用者的個資及流向,跨部門進行,包括產品、研發、人資、財會、資訊、客服等總共10個部門,同時進行包括臺灣總公司和歐洲分公司的個資盤點。

至於該如何執行個資盤點的程序呢?牟芳萱認為,最重要的一件關鍵任務就是,必須要能明確確認,當初該公司取得消費者個資時的使用目的為何?以及,現階段群暉科技各部門內所擁有的個資,是否還是符合當初的使用目的?一旦確認不符合,她說,相關的個資就必須在安全的情況下不再利用,包括刪除個資等方式,都是可行的作法。

群暉科技在因應GDPR時,和其他歐盟國家差別點在於,「臺灣總公司是扮演主導的地位,由總公司推動歐盟分公司因應GDPR的規範,」她指出,當然,還是有一些事項歐盟分公司有地利之便,會由分公司主動推動,例如聘僱歐盟當地分公司的資料保護長,但整體因應GDPR法規遵循的發起者,則是由總公司負責帶頭推動。

個資盤點時也必須確認資料蒐集的管道和使用用途是否合法,個資當事人是否有被告之個資使用目的,其他像是資料存放的安全性、存放時間、存取控管機制以及風險評估等,都是群暉科技在進行個資盤點時,都必須全盤納入思考的重點。

在進行影響評估時,牟芳萱表示,群暉科技必須從資料的內容、敏感度、是否加密等面向來看,如何進一步做到流程優化。例如,在資料收集的部份,就必須確認是否已經取得當事人的同意授權;資料應用上,是否可以合乎最小權限原則,避免過度使用當事人個資;資料保存部分則必須透過系統整合,做到自動化處理,減少人為因素帶來的誤差;最後,在資料追蹤上面,則要緊記要尊重當事人被遺忘權的處置方式,當事人有權請求行使當事人權利中的被遺忘權,不是所有的事情,都可以被搜尋引擎永久記住。

「在整個環節中,因應GDPR最後的關鍵就是,該如何落實稽核的環節,」她表示,群暉科技的資安政策制定便規定,該公司每半年都會進行稽核自評一次;除自評之外,也會委由公正第三方業者協助進行內部相關的稽核。

除了稽核之外,歐盟的GDPR還要求企業要指定資料保護長(DPO)這個角色,目前,群暉科技會在總部以及歐盟分公司都指定資料保護長,但歐盟分公司的資料保護長,會以當地人為主。不過,她指出,要協助企業落實GDPR,不能只有資料保護長單打獨鬥就夠了,仍需要有相關的團隊和顧問等,協助資料保護長完成歐盟對於GDPR的規範和要求。因此,群暉科技也在思考是否適合將資料保護長的角色委外。

群暉科技產品專員牟芳萱表示,因應GDPR的小組成員中,納入資訊、資安以及產品部門,才能彼此合作。(攝影/洪政偉)

因應GDPR的組織調整,納入產品、資訊和資安部門

因應個資保護,群暉科技原本就有組成一個資料管理委員會(Data Management Committee),包括這次因應歐盟GDPR,總共納入三個組織,包括群暉科技的產品資安事件應變小組(Product Security Incident Response Team,PSIRT),資訊科技(IT)部門,以及產品管理部門等,都有指派相對應的種子成員參與該委員會,也會負責參與因應GDPR的相關事項。從流程優化到組織調整,都是群暉科技為了因應GDPR所做的努力之一。

隨著物聯網時代來臨,牟芳萱表示,這次GDPR對於個資的認定與規範中,也加入科技的意涵,像是很多IP位址、Cookies等,都被視為個人資料的一環,以群暉科技提供的NAS產品為例,其中有一個服務是協助使用者找尋內網的NAS設備,一定要允許存取IP位址才有辦法使用這個服務。

群暉科技這次在盤點各個部門所擁有的個資中,就提供類似上述這樣的服務時,就必須要因應GDPR規範有所調整,因此,群暉科技就會跳出新版的使用者同意個資使用的條款,要求使用者允許群暉科技蒐集相關的IP位址,以提供可以搜尋內網NAS設備的服務。

由於,群暉科技不像其他跨國公司為了網路行銷而蒐集使用者個資,牟芳萱指出,該公司個資最大宗使用者其實就是客服部門,包括總部和歐洲、日本的分公司等,都有不同的在地客服團隊,協助消費者解決使用上的困難。

以客服部門遇到情況為例,至少要知道消費者的姓名、電子郵件等,才能夠提供相對應的解決方案以解決消費者遇到的困難,但她也說,還是難免有一些狀況比較複雜,並不是第一線客服人員有能力解決,可能必須委由臺灣總部的研發部門提供協助,除了在流程上,如何做到更有效率外,立即面臨的困難就是歐盟民眾個資「跨境傳輸」議題。

她進一步指出,要從歐盟將客戶個資跨境傳輸,除了必須徵得當事人同意外,第一線客服人員在把客服案件轉到總部的研發部門時,也必須思考到,到底有哪些是必要提供給研發部門知道的客戶個資,是否可以適度的透過遮罩等方式,提供必要的最小使用權限的個資內容給研發部門即可。她表示,透過重新審視整個資料傳輸的流程,就可以知道,群暉科技在使用客戶個資時,是否有過度擴大使用的情況。

從開始進行個資盤點到流程優化,至少花快一年時間因應

嚴格說來,群暉科技因為在德國有設立分公司,因此GDPR一公布的時候,內部就已經有進行討論,規畫該如何因應這個新版的歐盟個資保護規定。但牟芳萱表示,一直到2017年7月,臺灣總部帶頭,和分公司陸續開始進行跨部門的個資盤點以及初步的風險評估。

牟芳萱指出,整個個資盤點和風險評估的過程大約耗時二個月,但接下來怎麼進行流程優化,讓所有的個資使用都可以達到最小使用目的的原則,並且做好妥善的處理和利用,才是最花時間的。因此,從2017年9月開始,一直到今年3月為主,群暉科技大概花了七個月以上的時間,進行流程優化,並且和IT部門緊密合作,檢視個資在各個不同部門流動時,應該如何調整使用方式,以便符合GDPR的規範。

她也強調,好的流程調整往往必須與企業內部的系統,有好的配套方式,才能真正做到好的流程調整。因為和資訊部門緊密合作,所以整個流程優化的過程中,除了將個資做去識別化之外,也透過敏捷管理的專案管理方式,「邊做邊調整、邊做邊確認」,以期能達到預期流程調整目標。

歐盟GDPR規範中,她也特別指出,每個個資當事人都有權拒絕大數據分析的過程(也稱之為剖析),群暉科技因為沒有執行過多的網路行銷活動,也沒有利用自動化工具做相關的資料分析,在大數據分析這個部分,則不受影響。

從個資盤點到影響評估一直到流程優化,牟芳萱表示,檢視資料使用最少化原則,例如,各部門不要用的個資,都儘快刪除,並和顧問公司合作,調整內規,並將整個過程做成該公司內部的標準作業程序(SOP)。

企業推動資安,心態轉變最難

牟芳萱表示,安全和便利一直都是天平的兩端,要如何讓這個天平可以獲得良好的平衡,要大家習慣「追求安全的過程,難免會犧牲一些便利」,一切都必須從針對使用者教育訓練著手,透過轉變使用者對於安全的概念,「這種Mindset的轉變,往往是企業推動資安的過程中,最難突破的關卡。」她說。

她指出,對群暉科技而言,資安教育訓練沒有做好,就會讓資安流於口號,無法解決員工的疑慮;而透過密集的資安教育訓練和回答員工對資安推動過程中的疑問,就是落實資安的過程。

整體而言,GDPR的推動比較偏向調整企業內部的流程細節,和相關的政策調整,她說:「因為因應GDPR的過程中,包括資訊部門、資安部門和產品部門都緊密合作,推動過程更為順利。」

牟芳萱表示,群暉科技全公司員工大約6百多人,整個GDPR團隊成員大約6人。在過去一年以來,該公司也針對軟體部分,重新取得使用者同意,並且更新相關的隱私條款,也重申,未來所有的行銷活動時,都不會讓消費者個資使用的同意權,超出原本的使用目的,更不會二度用於其他連帶的行銷活動中。也就是說,未來群暉科技即便推出相關的行銷活動,都不會「預設使用者同意將個資提供給群暉科技行銷之用」。

再者,資料可攜性的部份,以社群資料為主,該公司則以群暉的帳號為主,「只要使用者有資料可攜的需求,告知所需資料的隔定,就能提供。」她表示,至於其他像是遺忘權的提出,則會以更透明化的方式因應,少數如歐盟要求產品購買憑證,必須保留10年之外,其他的資料都以透明化做最高目標。

因為群暉科技有納入產品部門一同因應GDPR,牟芳萱指出,該公司也將預設隱私(Privacy By Design)準則,進一步延伸為該公司產品安全時的預設標準,相關的個資保護處理除了加密外,也會做到將個資去識別化,同時作內規調整,做成SOP(標準作業程序)。

「因應GDPR的流程,是沒有任何捷徑,必須一步一腳印,才不會誤踩地雷,」她指出,透過事先定義高中低的風險為何,加上敏捷的專案開發,都可以減少,產品對內或對外不必要的使用目的。

 

群暉科技會員註冊如何因應GDPR

 步驟1 

群暉科技提供搜尋內網NAS裝置的Find Synology服務,因為需要取得IP位址才能進行搜尋,而IP位置在GDPR中,則視為個資內容。是故,群暉科技也趁因應歐盟GDPR之際,重新修正該服務的個資使用目的,告知當事人必須同意群暉科技可以蒐集IP位址,才能提供該服務。(圖片來源/群暉科技)

 

 步驟2 

群暉科技的套件中心是該公司與消費者接觸的第一步,所有的合約與軟體授權,都基於這個合約才能提供。歐盟GDPR要求企業,必須提供當事人行使相關的個資權利,未來當事人可以據此要求該公司刪除個資內容。(圖片來源/群暉科技)

 

 步驟3 

群暉科技必須針對歐盟GDPR對於個資保護的要求,重新調整相關的隱私權聲明,最重要的內容調整之一就是,GDPR將包括IP位址以及Cookies等,都視為個資的一部分並整合成一份文件,藉此減少重複並提高透明度。(圖片來源/群暉科技)

 

 步驟4 

群暉科技的Synology Account,將會整合未來所有消費者的帳號資訊,這也會是該公司和消費者往來認定的使用者代號。將會針對不同的使用者特色,區分成個人用途的家庭用戶,以及商業用途的企業用戶兩種。而這也是未來當事人行使個資權利的最終標的。(圖片來源/群暉科技)

 

 步驟5 

註冊群暉科技Synology Account時,提供包括亞洲(中國)、歐洲、北美洲、大洋洲等選項,群暉科技透露,因各國對於個資隱私都有不同規定,當中國禁止個資跨境傳輸時,該公司就必須在當地存放中國使用者個資。(圖片來源/群暉科技)

 

 步驟6 

群暉科技Synology Account透過新版的隱私權聲明,重申該公司對於消費者個資保護的責任和義務,從該項聲明中,宣稱會保護消費者使用www.synology.com網站,及使用該公司NAS產品相關個資的安全性等。(圖片來源/群暉科技)


Advertisement

更多 iThome相關內容