【大話資安：GDPR答客問二部曲】危機或轉機？企業與GDPR的共存之道

從5月25日正式實行的歐盟GDPR（通用資料保護規則）是目前企業關注的熱門議題，而此次則較為專注資訊部門因應如何落實GDPR法規遵循的作法，並透過技術面提供隱私保護顧問服務、法律相關顧問服務，加上輔導不同產業像是金融、高科技製造業等相關經驗，搭配協助跨國企業進行法遵的經驗發現，包括歐盟當地企業以及亞太區的企業，對於因應GDPR的法遵作為都都不落人後。

因為GDPR還在變動中，很多人擔心GDPR和我有沒有關係，但實際上，許多業者都有可能因為某一個議題的影響，而有可能受到GDPR的規範，例如，之前有一家智慧燈泡的業者，為了不受到GDPR可能帶來高額罰款的影響，主動停賣智慧燈泡產品。這也可以證明，法規遵循已經成為另外一種無形的貿易壁壘了。

但是，要如何將法規遵循議題，化危機為轉機？可以借鏡其他亞太地區國家企業的經驗，臺灣將GDPR視為法遵議題，主要是怕被罰錢，但有更多客戶不怕被罰錢，更怕賺不到錢，經理管理和法遵議題的思維不一樣，除了是個別企業的議題，還要看政府和產業一起面對，也是非關稅貿易競合的議題，對於ABCD等新創產業發展競合的議題等，企業必須要有能力從法遵議題變成經營管理議題，進而提升產業和產品的競爭力。

法遵是團體戰，不是單一產業或公司可以因應，臺灣有國發會出面作為因應GDPR的主責機關，打造相關的GDPR平臺，並和歐盟進行如何做資料跨境傳輸的作法是很重要的，企業單打獨鬥難度高，以國家和產業做跨境傳輸，會有帶動的效果。

GDPR不只是法遵議題，應提升為經營管理議題

臺灣產業面臨GDPR帶來的衝擊，對傳統B2B的企業，可能使用一般電子處理的企業、於歐盟當地處理資料的企業、僅有歐盟員工資料的企業，或者是僅處理基本個資的企業，或者是製造資通訊產品企業的衝擊較小；但對於新興科技物聯網（IoT）產品衝擊較大，包括行銷歐盟IoT等科技產品的企業；使用大數據分析與雲端服務的企業；進行跨境資料處理的企業，和控制或處理歐盟消費者資料的企業等。

全球隱私法遵議題對臺灣產業帶來的新思維，不能從資安風險來看，要從對全球市場消費者來看，這不僅是隱私人權保護的議題，也是國際貿易競合的議題，也與新興產業發展與監理議題相關，更牽涉到產業數位轉型與升級，其他還有國際事務溝通與交涉等，因此，政府透過跨機關的合作，從法律主管機關、產業監理機關、產業主管機關、產業輔導單位、資訊科技相關單位以及各涉外事務單位等，進行跨部會、跨專業的合作，對臺灣產業整體而言都是好事。

（圖片來源／KPMG）

GDPR對臺灣和全球產業帶來的衝擊，對B2C產業帶來的衝擊遠遠大於對B2B產業帶來的衝擊，前者包括新興科技IoT產品業者，後者則偏重傳統資通訊產品製造商。

法遵議題必須跨部門合作，除機密性也需在意可用性

因為GDPR法遵議題不是單一部門的事，涉及的部門很多，需要全公司跨部門合作，所以，IT人員要如何跟業務部門、法務部門和其他部門合作分工呢？

有些企業或以法務部門作為GDPR法遵議題的主導角色，有的會以IT部門為主，但偏重哪一個部門，都無法達到最好的法遵效果，便有企業採用專案的方式，克服只偏重單一業務角色所帶來的缺點。

例如，有某個企業在因應GDPR時，便採用法務單位加上營運單位組成一個PMO（專案管理辦公室），優先確認相關的法規遵循議題與要求，這對於企業營運造成的影響，是最小、而且是有幫助的；至於其他客服、營業、業務等相關單位，則是企業內的個資擁有者（Owner），角色的扮演則類似資料控制者；IT或是研發在企業內，則扮演類似資料處理者角色，讓這些個資保護的作為，可以落實在流程和系統中。如果由單一部門來做，都無法達到最平衡的角色，這其中也必須納入所有的利害關係人，因為如果只有法務部門主導相關的法遵議題，在實務上，就會立即面臨不知道實務上該如何做好個資保護。

IT部門如果要落實法遵，必須要先做到資料安全處理的準備工作，首先，從設計著手保護隱私；接著，讓產品內建隱私保護機制；如果有爆發個資外洩事件，必須確保事故資料回復的彈性；也必須建置確保資料機密性與完整性的安全控制措施；也必須建置資料可用性的控制措施；並進行各種措施的演練與有效性測試，也要針對資料大數據分析等合法利用活動時做資料的匿名化（符號化、記號化），並針對資料靜態儲存與傳輸實作加密。

GDPR的法遵議題不似以往只著重機密性，因為要確保當事人的個資權利，所以可用性還是很重要的議題。如果遇到監管單位的裁罰時，會考量所採用的個資保護技術是否可以達到應該有的效果，像是加密或者是匿名化等作為，都是可以採用的措施。

像是GDPR第83條規定，除了考量企業技術作為和管理作為，加密會影響效能、方便性、金鑰管理等，GDPR和傳統個資保護不同點在於，除了機密性外，也在意可用性，例如，加密是否會影響對當事人個資權利的行使，加密必須完善，不要影響存取效益。這也是比較少法遵議題會談到的規定，但一般IT部門熟悉C（機密性）、I（完整性）、A（可用性），而法遵以往會在意的是機密性，較少談到可用性。

隱私衝擊分析成為企業法遵採購的必備

很多IT部門在因應法遵議題時，第一個思考的點就是，有沒有哪些產品或工具，可以協助企業更快速的因應法遵。但事實上，沒有單一的工具或產品可以達成法遵的目標，不過，GDPR第32條就有建議，如果要達成資料安全處理時，有4個技術實施的考量重點，分別是：企業要使用最新的技術（the State of the Art），也就是可以搜尋哪些是市面上最先進、最高大上的技術。

此外，還要符合執行成本；要考慮的控制措施的性質、範圍、內容及目的，不是只是解決處理的形式，像是雲端或就地處理等；最後，則是比較少人注意的，關注對當事人權利及自由所產生的風險，舉例，小時候成績單可以看到全班的成績，也就是，企業不能單純從自己觀點看當事人個人資料該如何使用，必須要主張權利合理使用，也要尊重當事人並取得其同意。

如何落地？建議企業都必須要先執行DPIA（資料保護衝擊評估），甚至是所有因應GDPR的採購，也都必須先經過DPIA這樣的流程後，才能確定採購的產品是合用的。

可以從4個步驟開始做DPIA，步驟1：判斷資料處理是否為高風險行為，例如當事人種族、醫療兒童資料等敏感性個資，能不蒐集、處理、利用就不要做；步驟2；確認是否具有其他法律基礎可以概括進行，確認有相關的法源依據；步驟3：滿足隱私衝擊評鑑基本要素；步驟4：處理殘餘風險及決定防護技術類型或程度。

因為系統性及廣泛性的自動化評估，包含資料剖析，都是基於這個DPIA結果是否會產生法律效果或是其他重大影響，大規模處理特殊類型的個人資料，或前科及犯罪的個人資料，大規模且系統性觀測公共區域的資料，都必須先做到上述的DPIA，必須在取得資料、系統上線前進行完整風險影響分析，包含整理性的資料聚合和其他的創新應用，可以參考國際標準風險評估步驟，例如ISO 31000或ISO 29134。

相關的系統風險情境，可能包含人員過失、人員故意或者是外部的惡意攻擊等。因此，要做到完整的資料隱私衝擊分析，必須要做到識別隱私風險與衝擊，然後施行相關的安控措施，最後再確認監控安控措施的可用性。

（圖片來源／KPMG）

要符合GDPR的法規遵循的要求，首先就得從產品與服務設計之初，就已經納入隱私保護的概念，讓隱私安全成為預設的基本功能；不過，GDPR不只在意機密性，對於系統和資料可用性也很在意，面對包括加密和匿名化的控制措施時，對系統造成的效能衝擊，都必須納入考量。

DPIA加上SSDLC是PbD的精神

現在要翻轉系統和產品設計的思維，可以從新產品設計之初，就加上DPIA的概念，以往為了提昇應用系統效率與個資利用成路，開發者傳統習慣會設計一個可以包含各種手機資料的App，集中儲存在伺服器和資料庫中，並且以明碼儲存方式，提高存取效率。

但在新的隱私概念下，所有的產品服務開發，都必須做到個資的隱私保護，所有蒐集資料必須告知使用範圍和應用系統用途完全相符，可量部分資訊應該可以存放在使用者的設備端，不一定要回傳主機，也必須考量加密隱私資訊，做到加密儲存和傳輸等。

舉例而言，企業要開發一套自拍App，在蒐集個資時，要問，為什麼需要手機聯絡人資料？為什麼還要把照片上傳？做這個系統設計，蒐集資料關連性要合理，儲存架構要留在設備端，甚至明碼傳輸很可怕。

這類新產品開發，就把DPIA的精神融入產品設計階段的SSDLC（安全的軟體開發生命周期），也是比較接近PbD（隱私設計）的精神。

但如果是面對企業內部一些老舊的系統，該如何做到DPIA以及PbD呢？因為這些舊系統往往很難立刻砍掉重練，建議的方式是，如果是外顯的、與當事人個資權力行使有關的環節，就要列為優先改善的階段，其餘的系統安全性，可以分階段改善。

另外，隱私預設（PbD）在第25條就寫到，當事人不特別作任何事情，預設提供的產品和服務就是安全的。最好的反例就是，很多臺廠的無線基地臺（AP）或是物聯網裝置等，都使用預設的帳號、密碼；很多App預設要收集很多個資，作為優化產品或使用者體驗之用。這些都不是從捍衛個資當事人權利角度做的資料蒐集、處理和利用的方式，就不應該這樣使用。接下來，歐盟也在推動《電子隱私條例草案》，對電子設備廠商做更高強度的規範，因為，隱私保護已經是全世界潮流，當企業越有能力提供使用者更好的隱私保護作為，就會越有競爭力。也就是說，所以的系統和產品服務開發，預設是安全的、預設不收集過多資料、預設不可以有個資處理的黑箱，過程是通透的。

當大數據分析遇到GDPR，這是一個天平，以往對大數據資料的隱私處理，最常見是使用個資遮罩，欄位變造、記號化及符號化等作為，目前臺灣也有學者正在推動制定去識別化的國家標準等，都希望在大數據資料的使用者，可以避免被反識別，並兼顧可用性。

有客戶是智慧家電為主要業務的企業，透過智慧冰箱感測器可以知道所有的飲食習慣，還可以提供各種營養專家決策的知識庫，號稱比媽媽更了解你的胃；還會和智慧電視、智慧馬桶連結。

當這些物聯網智慧家電業者遇到GDPR時，又該如何因應？這其實是一個隱私工程的課題，第一個：必須看重IoT產品本身的安全性，必須顧到，安全傳輸協定、元件供應商是安全的，定期更新或更新的方式；第二個：設計讓使用者可以個別同意資料蒐集和功能，使用者有權可以拒絕。

有許多臺灣業者習慣包裹同意的作法，但GDPR已經明白的指出不可以採取包裹同意，必須一個一個同意相關的隱私條款和使用目的等。

另外，值得關注的議題是，如果使用者要做資料刪除時，除了資料本體和備份資料的刪除外，還有必須注意到，Meta Data資料（後設資料）的屬性，是否也都刪除的乾乾淨淨，這也是物聯網產業遇到的麻煩和困難。

當AI遇到GDPR，當事人有權拒絕被剖析，便有客戶做遠端監控，提供AI演算法，可以判斷員工或使用者是否有惡意意圖，但是，如果每次只要黑人經過，都會提出危險的警告，就有針對特定種族之嫌；其他像是美國線上核貸的產品，針對猶太人核貸過關的比例較高，也會有爭議。

面對這類大數據或是AI等新興科技在隱私保護的應用上，必須要堅守兩個重點，首先，一定要有人工介入的點；再者，資料蒐集在進行AI判斷時，都應該要避免蒐集各種敏感資料。目前臺灣很多做AI演算法，做平臺的業者，例如醫院的AI，隱私設計的演算法必須是安全，這是AI平臺的責任，不能躲避。

至於，當雲端服務業者遇到GDPR時，該如何因應？許多雲端平臺號稱合規GDPR，安全程度比較好，但臺灣的雲端服務業者其實很多都是SaaS業者，應用系統的底層安全，不表示服務本身就是安全，應該要負擔的責任和義務還是要做到好。也就是說，當IaaS或PaaS業者宣稱符合GDPR的規範時，不代表使用平臺打造SaaS業者也直接合規。

 專家小檔案 

安侯建業數位安全與隱私保護服務執行副總 謝昀澤

 簡介 

● 數十家上市櫃公司、政府機關、國營事業之資訊安全管理顧問服務，包括電子商務業、金融服務業、高科技製造業、傳統製造業、通訊業、服務業、流通 / 物流業等

● 衛生醫療產業主管機關、研究機構、及數十家公、私立醫院之資訊安全管理顧問服務，包括病患隱私保護、電子病歷安全、醫療資訊系統安全等•國稅體系主管機關，包括資訊安全、個人資料管理建系統等

● 電子商務之營運管理與資訊安全，包括IT架構規劃、採購e化、物流e化、供應商管理、個人資料保護、信用卡資料保護等

● 製造業、金融業等之大型專案管理與資訊策略規劃

 專業能力 

● 大型政府計畫之規劃與執行

● 資訊系統稽核與驗證

● 資訊安全管理與個人資料保護

● 資訊系統整合與開發

● 資訊系統規劃、流程設計

● 滲透測試、入侵偵測與網路安全防禦技術

● 資訊專案管理

 影片連結  iThome大話資安直播影片：危機還是轉機？企業與GDPR的共存之道