勤業眾信風險管理諮詢顧問副總經理 林彥良 (攝影/洪政偉)

對於已經在今年5月25日正式施行的歐盟GDPR(通用資料保護規則),有許多臺灣企業最傷腦筋的就是,到底是否適用歐盟GDPR的規範呢?畢竟,這個遠在歐洲制定的法規,在目前的地球村時代之下,某些區域性的法規要求,其實已經可以影響全球市場與企業和民眾。

針對歐盟提供服務的業者,都適用GDPR的規範

但實際上,要判斷到底是否必須遵守GDPR,往往必須要從業務情境深入探討,才能夠確認,很難從單一的情境去辨別某些公司是否適用GDPR。重點在於,該公司組織到底有沒有在歐盟境內提供服務,而目前判斷的基準,可根據是否使用歐盟的貨幣與文字來證明。

以往,針對各種法遵議題的實踐,許多企業組織內,很多就會從法務部門著手,但有些提供資訊服務的公司,則由資訊部門承擔。事實上,法遵議題的遵守範圍相當廣泛,從法務、風險管理、IT或者是第一線業務部門、客服部門,都有可能牽涉到相關的業務流程,但到底該由誰作為法規遵循的代表呢?

目前常見的作法,就是以法務部門為首,另外,就是由資訊部門來領頭,不過,就實務狀況而言,不論是教導法務人員了解IT,或者讓IT人員懂法律,難度都很高。

這時,管理顧問公司可以扮演橋樑的角色,把法遵的要求,轉化成資訊部門聽得懂的程式開發和系統需求,同時,也將資訊部門的語言,轉化成法務部門在落實法遵時可以實作的作為,由他們來協助雙方了解彼此,扮演兩造翻譯官的角色。

即便GDPR已經正式實施,但它仍是一個持續變動中的法規,所以,之前的工作群組(Working Party)也更名成為歐盟資料保護委員會(the European Data Protection Board,EDPB)。另外,像是英國的個資隱私主管機關(ICO)也都持續針對GDPR的法規演進,提供企業各種需要關注關聯法規,以及調整隱私保護策略與管理機制的建議。而關於這樣的法規遵循和演進的過程,則是需要透過長久運作,更需要內化成為企業的業務流程。

至於誰才適用GDPR?雖然先前在GDPR的官網,已經正式提出回答,但事實上,即便在歐盟當地的律師,對於法律的解釋,還是有兩派的說法,到底是服務提供者,還是只要有蒐集歐洲民眾個資的企業組織,都必須適用GDPR的規範呢?

就法條而言,GDPR保護對象都採用資料當事人(Data Subject)一詞,而不是公民或居民等字句,因為GDPR將個資保護的範圍,擴大為歐盟境內資料當事人為主。

但其他的爭議點在於,如果這些歐盟的資料當事人因為差旅到境外活動時,該如何判斷這個提供服務的組織,是否要受GDPR規範呢?

這就要看,企業如果是歐盟境外的服務提供者,而且是針對歐盟以外的客戶提供服務,讓其客戶到歐盟旅行時可以使用其服務,在如此的狀況下,只要這家公司沒有針對歐盟個資當事人提供服務,就不受GDPR法遵的約束。

也就是說,只要是針對歐盟境內的個資當事人提供服務,就會受到GDPR規範;但如果沒有在歐盟境內針對個資當事人提供服務,即便這些人進到歐盟境內,也不受GDPR的規範。

因為針對同一個情境,各派律師的解讀還是不同,GDPR的複雜度來自於對於情境拆解、當事人資料,以及資料控制者、處理者角色不同,會有不同的權利義務要遵守,這也是GDPR之所以複雜難解的關鍵所在。

合約是所有法遵的基礎,臺灣高科技業者即為一例

對企業和組織而言,要如何界定資料保護的範圍呢?必須要從資料流程(Data Mapping)和資料清單(Data Inventory)下手,另外,比較容易忽略、且會為企業帶來風險的部份,就是「合約」。

臺灣有許多企業在歐盟當地設有經銷代理商,不同的法人代表,是否可以透過簽訂合約的方式,讓相關的個人資料從歐盟跨境傳輸到臺灣?

事實上,審視合約是一件非常繁雜且壓力很大的工作,就有真實案例顯示這樣的挑戰,例如,有的企業一年要簽訂大約4千到5千份合約,為了要做GDPR的法遵,必須重新檢視這數千份合約的規定。

另外,許多臺灣高科技製造業者近來積極因應GDPR,往往都是來自於客戶必須符合GDPR的規範,基於合約的要求,連帶要求臺灣的這些高科技製造業者,也必須同步符合GDPR規範。

在七月初,歐盟消費者保護機構(BEUC)也提出一份GDPR報告,就直接點名有某些組織在隱私保護的作法上,還是有問題。例如,GDPR要求個資使用必須透明化,但這些組織並沒有明確告知使用者,對於他們的個資會提供給哪些第三方單位使用;或者是,個資處理並沒有遵循GDPR的要求,單純使用該企業網站,就認定該使用者已經同意該公司的隱私保護政策;甚至是,隱私權政策內容使用了模糊不清的語言來陳述,讓使用者無法了解實際政策內容,難以了解使用者個資是如何在實務上受到使用等。

另外,像是資安業者TrustArc則提出一份報告,當中表示有七成企業,要到2018年底,才會完成因應GDPR的準備工作;而Google也於日前和幾個網路服務業者合作,提出使用者資料可攜的專案,並且不斷更新調整。

基於產業和監管機關的角度,建立一套合規的行為守則

關於法規遵循,其實可以從生態系的概念來檢視,涉及的層面,主要有立法機構、受約束對象、受保護客體、監管對象等等,但要知道GDPR這個法要保護的對象是誰?怎麼做到?如何實施落實?就需要集合各種專家,包括律師、產業專家、資訊專家等等,也會成立所謂工作小組(Working Party),集思廣益,共同找出可以讓企業組織遵循的方法,畢竟,無法監管的法律,等於是沒有用的法。

值得注意的是,GDPR這類的隱私保護或者是網路安全法案,也已經形成一種非關稅的貿易壁壘,因此,對於歐洲雲端服務業者而言,就自行建置關於雲服務應該遵循的準則,希望藉此打造符合GDPR控管要求的EU Cloud Code of Conduct(歐盟雲端行為守則)。

目前,EU Cloud CoC對於GDPR這套法案的內容做出解釋,依照行業特性做出共識作法,訂出行為守則(Code of Conduct,CoC)這是一個過程,因為由民間受約束對象直接與監管單位進行溝通,取得平衡,因此,EU Cloud CoC的發展一直受到矚目。

過去企業多數以ISO 27001資安認證為主,在雲端服務業者相關的認證,則是ISO 27017和ISO 27018,包括要如何取得當事人同意等,在規範中都有詳細說明,並且有獨立機構去查核。而現在這種CoC的作法,比較像是針對某各產業,量身打造的產業適用標準,類似的作法,在歐洲當地也都行之有年。

其他像是日本於今年7月17日,已經取得和歐盟對等的認可,認定彼此的法規都具有足夠的保護;其他像是中國推出《個人信息保護法》,美國有《Cloud Ac t》,還有美國2020預計實施的《CCPA》(美國加州消費者隱私法案),未來都是值得重視的法遵議題,對臺灣產業都有影響,尤其臺灣有很多科技業都在美國加州落腳。

在企業營運管理上,過去傳統企業在意所謂的勞安、工安等議題,但在虛擬世界談的議題則都是資料保護、隱私保護等,而相關的法遵議題,往往也會造成外商進去當地市場的門檻,並帶來經營上的挑戰,形成所謂的貿易壁壘,但這已經是避免不了的趨勢。

歐盟透過GDPR在構築全球的貿易壁壘,其他國家也都一樣,因此,對於各個國家和企業而言,都必須要有一個組織,去因應相關的議題。

在5月25日之後,許多國家的個資主管機關也都打造了一個「隱私外洩事件通報程序」,像是法國、荷蘭和德國,都打造一個相關的通報平臺,其他像是英國、奧地利、義大利和盧森堡,則可以透過電子表單或電子郵件的方式進行通報。

 

圖片來源/勤業眾信

在5月25日之後,許多國家個資主管機關都打造了一個「隱私外洩事件通報程序」,像是法國、荷蘭和德國,都打造一個相關的通報平臺,其他像是英國、奧地利、義大利和盧森堡,則可以透過電子表單或電子郵件的方式進行通報。

 

隱私衝擊分析和PbD是因應GDPR最重要的兩個框架

要拆解隱私資料處理活動的控管機制,必須從人員、流程和技術等三個面向進行拆解。

在「人」的部份,必須知道「外部」收資料的對象是誰?會取得什麼樣子的資料?資料會提供給誰?「內部」使用的人是誰?那些人可以存取等。

而在「流程」的部份,是否涉及高風險項目需要執行DPIA(隱私保護衝擊分析)?是否包含個資法定告知項目?是否具有當事人權力行使流程?以及內部流程是否定義清楚,確認個資的流向等。

至於「技術」部份,則著重在下列幾項,例如:收集來的資料如何保管?使用哪種機制去分析、應用及處理相關個資?相關的個資保護措施有哪些等。

而在流程的因應上,GDPR還有兩大框架必須注意,第一個就是DPIA(隱私保護衝擊分析),第二個就是PbD,這又有兩者解釋意涵,一種是隱私保護設計(Privacy by Design),另外一種則是隱私保護預設(Privacy by Default)。

在進行隱私保護衝擊分析時,第一步就要判斷是否需要執行DPIA;再者,就是要確定DPIA執行評估內容,找出影響隱私保護的關鍵因素後,釐清資料敏感度等級,確認隱私保護控管水準,並且在業務場景中,判斷潛在威脅事件的影響。而所有的隱私保護衝擊分析,都必須在處理相關隱私資料之前,就必須事先完成的作為。

而這樣的DPO應該要有一個團隊來進行合作,包括法務專家與IT專家,也可以組成一個隱私執行中心(Privacy Operation Center)。

但重點是,這個DPO雖是監管延伸,但必須真正了解這個產業,才能做出好的判斷;也必須有能力和當地監管單位溝通才行。而根據勤業眾信的統計,在GDPR之後,預計將增加三萬個隱私保護和資安相關工作機會。

除了DPIA,假若遇到個資外洩事件時,GDPR也做出規定,要求必須在72小時內通報主管機關,參與者為企業內的緊急應變小組和DPO(資料保護長),負責發現和接收隱私資料外洩事件,而相關的隱私保護推行小組,則必須要彙總和確認事件發生的原因並排除,也必須做出相關的影響分析。

至於,PbD的部份,很多人認為是針對IT,但有越來越多家企業,從本質上來看,全公司都是IT,這麼一來,該如何在內部做到PbD評估?

事實上,由前端資料取得的生命週期開始,就必須要落實隱私保護衝擊分析及PbD。千萬不要把PbD當成IT議題,整個流程從告知與徵求使用者同意上,都需要業務端協助確認,所以,必須考量內部怎麼做橫向溝通。林彥良建議,可以成立虛擬組織或單位,負責進行PbD橫向溝通的工作。

企業可以選擇簽署SCC或BCR,解決個資跨境傳輸問題

要落實隱私保護制度必須要有一個實施的全貌,從合規要求到持續維運,是一條不間斷的漫長旅程。

因此,剛開始就必須先實施資料盤點、合約盤點,然後進行差異分析,在完成相關的風險處置之後,須擘畫合規藍圖,並且要能落地運行,後續還必須做到持續維運。

以目前來看,設計制度是相對不重要的過程,要能夠知道現況、架構後,才有辦法實施制度,且整個對個資隱私的重視程度,都應該要被內化到企業內每一個業務流程,才是比較實際的作法,因為,內化永遠是最難的部分,目前看來,高科技業運作的空間比較大,而金融業已經是高度監管的行業,內化程度相對較高。

而關於GDPR實施後的關鍵策略,則是必須將隱私保護的外在用戶體驗與管理意識,予以內化。在外在的用戶體驗上,包括:資料處理與合法性、兒童資料處理、跨境傳輸、隱私聲明與同意、當事人行使權利、自動化處理OptIn及OptOut,以及外洩事件通報;而在管理意識內化上,則囊括:打造治理、資料保護長和隱私管理團隊;釐清資料控制者和資料處理者權責;進行隱私衝擊分析(DPIA);落實供應商安全管理;落實Pvrivacy By Design及Privacy bt Default;最後,則是進行教育訓練,以及宣導。

以勤業眾信本身的作法和經驗為例,他們在內部啟動機敏資料保護專案,包含資安資料保護和隱私保護在內,並於2017年初,採用比利時的框架來推動這些法遵工作。

同時,也將這些作業分成業務面、資料面和IT技術面,而勤業眾信這個4千人的單位,已經全數取得了ISO 27001認證,算是很大規模的認證單位。而勤業眾信也規定,如果會員所沒有通過相關資安驗證,就無法跨國接案。

以歐盟雲端服務業者推動的CoC作法,是從立法者、監管者、受監管者和受保護者等面向來檢視,大家一起開誠布公來溝通,而且,有許多產業也希望,可以透過一個CoC框架,與監管單位溝通。但這個部分與是否合規,其實是兩件事情。

是否取得各種資安隱私保護的標章,並不重要,因為,關鍵在於,要把精神落實到企業內部的每一個作業流程和企業文化,以及有沒有團隊可以處理個資隱私保護議題,以及能否和監管溝通等,才是要緊的部份。

整體而言,GDPR其實並不是禁止個資往外傳送,而是要符合其個資保護要求後,才能往外傳,例如,可以傳送到白名單國家,若是例外狀況,也可以簽署SCC或者是BCR架構。前者類似定型化契約,一個字都不能改,是附屬在合約上,也是解決跨境資料傳輸比較快的方式,不過,很多公司並沒有意識到,自己以前採用的合約,其實都已經簽署過SCC合約了。

此外,要因應GDPR,必須要先弄清楚自己是資料控制者或資料處理者的角色,兩者責任差異已經不大,只不過,現有SCC條約並沒有境外控制者的角色,只有針對境內控制者將資料傳給境外處理者,或是境內控制者傳給境外控制者等狀況。至於跨國企業,則以簽署BCR為主,而在全球和臺灣,已經有很多金融機構拿到相關的BCR了。

 

 專家小檔案  勤業眾信風險管理諮詢顧問副總經理 林彥良 

 

 簡介 

於2007年加入勤業眾信,具有十年以上的科技風險相關工作經驗,熟悉高科技業、製造業、金融業等業務作業流程,擁有豐富的大型集團企業資訊安全諮詢經驗。目前擔任勤業眾信風險諮詢服務部門副總經理,專注於營業秘密保護、研發資料保護、金融科技新興風險管理、資訊安全管理、網路安全評估、隱私保護、海外資安法規諮詢、企業資安架構設計等企業資安風險議題。

 

 專業能力 

● 新興科技風險評估

● 營業秘密保護/研發資料保護風險評估與控制設計

● 隱私保護/隱私合規諮詢

● 資訊安全/網路安全風險評估

● 海外資安合規諮詢

● 資訊安全/資料保護解決方案建置

 

 影片連結  iThome大話資安直播影片:GDPR後的隱私保護趨勢


Advertisement

更多 iThome相關內容