安侯建業數位安全與隱私保護服務執行副總 謝昀澤 (攝影/洪政偉)

從5月25日正式實行的歐盟GDPR(通用資料保護規則)是目前企業關注的熱門議題,而此次則較為專注資訊部門因應如何落實GDPR法規遵循的作法,並透過技術面提供隱私保護顧問服務、法律相關顧問服務,加上輔導不同產業像是金融、高科技製造業等相關經驗,搭配協助跨國企業進行法遵的經驗發現,包括歐盟當地企業以及亞太區的企業,對於因應GDPR的法遵作為都都不落人後。

因為GDPR還在變動中,很多人擔心GDPR和我有沒有關係,但實際上,許多業者都有可能因為某一個議題的影響,而有可能受到GDPR的規範,例如,之前有一家智慧燈泡的業者,為了不受到GDPR可能帶來高額罰款的影響,主動停賣智慧燈泡產品。這也可以證明,法規遵循已經成為另外一種無形的貿易壁壘了。

但是,要如何將法規遵循議題,化危機為轉機?可以借鏡其他亞太地區國家企業的經驗,臺灣將GDPR視為法遵議題,主要是怕被罰錢,但有更多客戶不怕被罰錢,更怕賺不到錢,經理管理和法遵議題的思維不一樣,除了是個別企業的議題,還要看政府和產業一起面對,也是非關稅貿易競合的議題,對於ABCD等新創產業發展競合的議題等,企業必須要有能力從法遵議題變成經營管理議題,進而提升產業和產品的競爭力。

法遵是團體戰,不是單一產業或公司可以因應,臺灣有國發會出面作為因應GDPR的主責機關,打造相關的GDPR平臺,並和歐盟進行如何做資料跨境傳輸的作法是很重要的,企業單打獨鬥難度高,以國家和產業做跨境傳輸,會有帶動的效果。

GDPR不只是法遵議題,應提升為經營管理議題

臺灣產業面臨GDPR帶來的衝擊,對傳統B2B的企業,可能使用一般電子處理的企業、於歐盟當地處理資料的企業、僅有歐盟員工資料的企業,或者是僅處理基本個資的企業,或者是製造資通訊產品企業的衝擊較小;但對於新興科技物聯網(IoT)產品衝擊較大,包括行銷歐盟IoT等科技產品的企業;使用大數據分析與雲端服務的企業;進行跨境資料處理的企業,和控制或處理歐盟消費者資料的企業等。

全球隱私法遵議題對臺灣產業帶來的新思維,不能從資安風險來看,要從對全球市場消費者來看,這不僅是隱私人權保護的議題,也是國際貿易競合的議題,也與新興產業發展與監理議題相關,更牽涉到產業數位轉型與升級,其他還有國際事務溝通與交涉等,因此,政府透過跨機關的合作,從法律主管機關、產業監理機關、產業主管機關、產業輔導單位、資訊科技相關單位以及各涉外事務單位等,進行跨部會、跨專業的合作,對臺灣產業整體而言都是好事。

 

(圖片來源/KPMG)

GDPR對臺灣和全球產業帶來的衝擊,對B2C產業帶來的衝擊遠遠大於對B2B產業帶來的衝擊,前者包括新興科技IoT產品業者,後者則偏重傳統資通訊產品製造商。

 

法遵議題必須跨部門合作,除機密性也需在意可用性

因為GDPR法遵議題不是單一部門的事,涉及的部門很多,需要全公司跨部門合作,所以,IT人員要如何跟業務部門、法務部門和其他部門合作分工呢?

有些企業或以法務部門作為GDPR法遵議題的主導角色,有的會以IT部門為主,但偏重哪一個部門,都無法達到最好的法遵效果,便有企業採用專案的方式,克服只偏重單一業務角色所帶來的缺點。

例如,有某個企業在因應GDPR時,便採用法務單位加上營運單位組成一個PMO(專案管理辦公室),優先確認相關的法規遵循議題與要求,這對於企業營運造成的影響,是最小、而且是有幫助的;至於其他客服、營業、業務等相關單位,則是企業內的個資擁有者(Owner),角色的扮演則類似資料控制者;IT或是研發在企業內,則扮演類似資料處理者角色,讓這些個資保護的作為,可以落實在流程和系統中。如果由單一部門來做,都無法達到最平衡的角色,這其中也必須納入所有的利害關係人,因為如果只有法務部門主導相關的法遵議題,在實務上,就會立即面臨不知道實務上該如何做好個資保護。

IT部門如果要落實法遵,必須要先做到資料安全處理的準備工作,首先,從設計著手保護隱私;接著,讓產品內建隱私保護機制;如果有爆發個資外洩事件,必須確保事故資料回復的彈性;也必須建置確保資料機密性與完整性的安全控制措施;也必須建置資料可用性的控制措施;並進行各種措施的演練與有效性測試,也要針對資料大數據分析等合法利用活動時做資料的匿名化(符號化、記號化),並針對資料靜態儲存與傳輸實作加密。

GDPR的法遵議題不似以往只著重機密性,因為要確保當事人的個資權利,所以可用性還是很重要的議題。如果遇到監管單位的裁罰時,會考量所採用的個資保護技術是否可以達到應該有的效果,像是加密或者是匿名化等作為,都是可以採用的措施。

像是GDPR第83條規定,除了考量企業技術作為和管理作為,加密會影響效能、方便性、金鑰管理等,GDPR和傳統個資保護不同點在於,除了機密性外,也在意可用性,例如,加密是否會影響對當事人個資權利的行使,加密必須完善,不要影響存取效益。這也是比較少法遵議題會談到的規定,但一般IT部門熟悉C(機密性)、I(完整性)、A(可用性),而法遵以往會在意的是機密性,較少談到可用性。

隱私衝擊分析成為企業法遵採購的必備

很多IT部門在因應法遵議題時,第一個思考的點就是,有沒有哪些產品或工具,可以協助企業更快速的因應法遵。但事實上,沒有單一的工具或產品可以達成法遵的目標,不過,GDPR第32條就有建議,如果要達成資料安全處理時,有4個技術實施的考量重點,分別是:企業要使用最新的技術(the State of the Art),也就是可以搜尋哪些是市面上最先進、最高大上的技術。

此外,還要符合執行成本;要考慮的控制措施的性質、範圍、內容及目的,不是只是解決處理的形式,像是雲端或就地處理等;最後,則是比較少人注意的,關注對當事人權利及自由所產生的風險,舉例,小時候成績單可以看到全班的成績,也就是,企業不能單純從自己觀點看當事人個人資料該如何使用,必須要主張權利合理使用,也要尊重當事人並取得其同意。

如何落地?建議企業都必須要先執行DPIA(資料保護衝擊評估),甚至是所有因應GDPR的採購,也都必須先經過DPIA這樣的流程後,才能確定採購的產品是合用的。

可以從4個步驟開始做DPIA,步驟1:判斷資料處理是否為高風險行為,例如當事人種族、醫療兒童資料等敏感性個資,能不蒐集、處理、利用就不要做;步驟2;確認是否具有其他法律基礎可以概括進行,確認有相關的法源依據;步驟3:滿足隱私衝擊評鑑基本要素;步驟4:處理殘餘風險及決定防護技術類型或程度。

因為系統性及廣泛性的自動化評估,包含資料剖析,都是基於這個DPIA結果是否會產生法律效果或是其他重大影響,大規模處理特殊類型的個人資料,或前科及犯罪的個人資料,大規模且系統性觀測公共區域的資料,都必須先做到上述的DPIA,必須在取得資料、系統上線前進行完整風險影響分析,包含整理性的資料聚合和其他的創新應用,可以參考國際標準風險評估步驟,例如ISO 31000或ISO 29134。

相關的系統風險情境,可能包含人員過失、人員故意或者是外部的惡意攻擊等。因此,要做到完整的資料隱私衝擊分析,必須要做到識別隱私風險與衝擊,然後施行相關的安控措施,最後再確認監控安控措施的可用性。

 

(圖片來源/KPMG)

要符合GDPR的法規遵循的要求,首先就得從產品與服務設計之初,就已經納入隱私保護的概念,讓隱私安全成為預設的基本功能;不過,GDPR不只在意機密性,對於系統和資料可用性也很在意,面對包括加密和匿名化的控制措施時,對系統造成的效能衝擊,都必須納入考量。

 

DPIA加上SSDLC是PbD的精神

現在要翻轉系統和產品設計的思維,可以從新產品設計之初,就加上DPIA的概念,以往為了提昇應用系統效率與個資利用成路,開發者傳統習慣會設計一個可以包含各種手機資料的App,集中儲存在伺服器和資料庫中,並且以明碼儲存方式,提高存取效率。

但在新的隱私概念下,所有的產品服務開發,都必須做到個資的隱私保護,所有蒐集資料必須告知使用範圍和應用系統用途完全相符,可量部分資訊應該可以存放在使用者的設備端,不一定要回傳主機,也必須考量加密隱私資訊,做到加密儲存和傳輸等。

舉例而言,企業要開發一套自拍App,在蒐集個資時,要問,為什麼需要手機聯絡人資料?為什麼還要把照片上傳?做這個系統設計,蒐集資料關連性要合理,儲存架構要留在設備端,甚至明碼傳輸很可怕。

這類新產品開發,就把DPIA的精神融入產品設計階段的SSDLC(安全的軟體開發生命周期),也是比較接近PbD(隱私設計)的精神。

但如果是面對企業內部一些老舊的系統,該如何做到DPIA以及PbD呢?因為這些舊系統往往很難立刻砍掉重練,建議的方式是,如果是外顯的、與當事人個資權力行使有關的環節,就要列為優先改善的階段,其餘的系統安全性,可以分階段改善。

另外,隱私預設(PbD)在第25條就寫到,當事人不特別作任何事情,預設提供的產品和服務就是安全的。最好的反例就是,很多臺廠的無線基地臺(AP)或是物聯網裝置等,都使用預設的帳號、密碼;很多App預設要收集很多個資,作為優化產品或使用者體驗之用。這些都不是從捍衛個資當事人權利角度做的資料蒐集、處理和利用的方式,就不應該這樣使用。接下來,歐盟也在推動《電子隱私條例草案》,對電子設備廠商做更高強度的規範,因為,隱私保護已經是全世界潮流,當企業越有能力提供使用者更好的隱私保護作為,就會越有競爭力。也就是說,所以的系統和產品服務開發,預設是安全的、預設不收集過多資料、預設不可以有個資處理的黑箱,過程是通透的。

當大數據分析遇到GDPR,這是一個天平,以往對大數據資料的隱私處理,最常見是使用個資遮罩,欄位變造、記號化及符號化等作為,目前臺灣也有學者正在推動制定去識別化的國家標準等,都希望在大數據資料的使用者,可以避免被反識別,並兼顧可用性。

有客戶是智慧家電為主要業務的企業,透過智慧冰箱感測器可以知道所有的飲食習慣,還可以提供各種營養專家決策的知識庫,號稱比媽媽更了解你的胃;還會和智慧電視、智慧馬桶連結。

當這些物聯網智慧家電業者遇到GDPR時,又該如何因應?這其實是一個隱私工程的課題,第一個:必須看重IoT產品本身的安全性,必須顧到,安全傳輸協定、元件供應商是安全的,定期更新或更新的方式;第二個:設計讓使用者可以個別同意資料蒐集和功能,使用者有權可以拒絕。

有許多臺灣業者習慣包裹同意的作法,但GDPR已經明白的指出不可以採取包裹同意,必須一個一個同意相關的隱私條款和使用目的等。

另外,值得關注的議題是,如果使用者要做資料刪除時,除了資料本體和備份資料的刪除外,還有必須注意到,Meta Data資料(後設資料)的屬性,是否也都刪除的乾乾淨淨,這也是物聯網產業遇到的麻煩和困難。

當AI遇到GDPR,當事人有權拒絕被剖析,便有客戶做遠端監控,提供AI演算法,可以判斷員工或使用者是否有惡意意圖,但是,如果每次只要黑人經過,都會提出危險的警告,就有針對特定種族之嫌;其他像是美國線上核貸的產品,針對猶太人核貸過關的比例較高,也會有爭議。

面對這類大數據或是AI等新興科技在隱私保護的應用上,必須要堅守兩個重點,首先,一定要有人工介入的點;再者,資料蒐集在進行AI判斷時,都應該要避免蒐集各種敏感資料。目前臺灣很多做AI演算法,做平臺的業者,例如醫院的AI,隱私設計的演算法必須是安全,這是AI平臺的責任,不能躲避。

至於,當雲端服務業者遇到GDPR時,該如何因應?許多雲端平臺號稱合規GDPR,安全程度比較好,但臺灣的雲端服務業者其實很多都是SaaS業者,應用系統的底層安全,不表示服務本身就是安全,應該要負擔的責任和義務還是要做到好。也就是說,當IaaS或PaaS業者宣稱符合GDPR的規範時,不代表使用平臺打造SaaS業者也直接合規。

 

 專家小檔案 

 

安侯建業數位安全與隱私保護服務執行副總 謝昀澤

 

 簡介 

● 數十家上市櫃公司、政府機關、國營事業之資訊安全管理顧問服務,包括電子商務業、金融服務業、高科技製造業、傳統製造業、通訊業、服務業、流通 / 物流業等

● 衛生醫療產業主管機關、研究機構、及數十家公、私立醫院之資訊安全管理顧問服務,包括病患隱私保護、電子病歷安全、醫療資訊系統安全等•國稅體系主管機關,包括資訊安全、個人資料管理建系統等

● 電子商務之營運管理與資訊安全,包括IT架構規劃、採購e化、物流e化、供應商管理、個人資料保護、信用卡資料保護等

● 製造業、金融業等之大型專案管理與資訊策略規劃

 

 專業能力 

● 大型政府計畫之規劃與執行

● 資訊系統稽核與驗證

● 資訊安全管理與個人資料保護

● 資訊系統整合與開發

● 資訊系統規劃、流程設計

● 滲透測試、入侵偵測與網路安全防禦技術

● 資訊專案管理

 

 影片連結  iThome大話資安直播影片:危機還是轉機?企業與GDPR的共存之道


Advertisement

更多 iThome相關內容