【大話資安：GDPR答客問三部曲】達成GDPR遵循性的20個步驟

臺灣中小企業眾多，加上缺乏針對個資保護的主管機關，多數負責管理臺灣中小企業個資隱私議題的單位，多是由地方政府擔任目的事業主管機關，其中，也有很多中小企業不知道何處搜尋相關歐盟GDPR（通用資料保護規則）的資源管道，僅止於相關實務與經驗的分享，並不做法律見解。

之所以如此，在於這個仍在發展中的GDPR，即便是律師，都不容易找到共通或明確答案，加上各國對於個資隱私的判例，嚴苛或寬鬆不一，更使得因應GDPR法遵議題的難度增加，也因為這是一個還在發展中的法規，所以，會有一段適應期。

對此，臺灣BSI總經理蒲樹盛提供了20個GDPR遵循性的作法。這是由英國總部加上BSI各國分公司綜合出來的實務上的經驗，透過提綱挈領的方式，有助於企業掌握每一個步驟的核心議題，如此一來，就可以比較容易因應GDPR的法規要求。

制定各國隱私保護高標準，以20個步驟融入公司營運流程

歐盟推出GDPR保護個資隱私，主要有五個原則和目的。首先，希望可以強化8個當事人個人權利，讓當事人權利可以真正受到保障，因此，企業保護個資的挑戰會越來越大。例如，5月28日有法國民眾跟該國個資主管機關CNIL提告，控訴Google蒐集個資時，不夠尊重當事人權利。而從這個事件當中，我們也可以發現，全球各地所有民眾對於當事人權利的要求越來越高，而歐盟有28國，在各國民眾提告後，法院的判例和見解也會有所不同。

其次，要制定嶄新、清楚且周密的法規，確保個人資料可以自由合理流通。第三個原則和目的，是須確保相關法規實施的一致性。接著，樹立全球資料保護的新標竿，拉高個資保護的標竿，而這也會有外溢效應，因為，當人和資料會四處移動時，原本以為不適用GDPR的產業，可能會變成適用GDPR範圍的產業，這也讓各國跟進制定隱私保護的高標準。最後一個重點，則希望透打造一套可以適用於各個產業的資料保護黃金原則。

透過20個步驟提供臺灣企業用戶參考之餘，蒲樹盛再次強調，個資隱私保護在組織內部，不應該是特定個人或個部門的事。

因此，他進而將20個步驟，區分成下列四大類別。

一是管理和組織階層的治理步驟，共有6個；二是用來保護個人權利的技術步驟，則有4個；三是用來執行使用資料流的日常活動的作業步驟，有6個；最終是對內、對外和利害關係人進行溝通的進行步驟，總共有4個。

確認資料控制者與處理者的職權，組織設立資料保護長

基本上，這20個達成GDPR遵循性的步驟，是以一種條理化、系統化與邏輯化的方法進行，目的是為了幫助組織整合既有的架構。

步驟1：只要公司機關或核心業務涉及歐盟個資處理，也為了確保資料控制者（Data Controller）和資料處理者（Data Processor）有效遵循法規，此時，就必須指派資料保護長（DPO）。

不論DPO本身的存在，是否屬於另外成立一個正式職位，整體而言，維護資料保護和隱私安全的職責，都必須正式地指派給某一個人或單位負責，不論是指派原有員工擔任資料保護長，或者是新增一個職位，甚至是委員第三方單位派遣擔任資料保護長，這個人員都必須有效依法履行職責，一旦違犯GDPR規範，資料保護長將被追究法律責任。

同時，不管是採取何種方式，組織都必須確保資料保護長，要能符合所有必要的訓練及能力要求，更重要的是，該資料保護長和組織營運業務必須沒有任何利益衝突，這當然會增加組織成本，但可確保組織有能力符合法遵規定。

步驟2：就是要明定相關的資料保護權責義務。對於個資的擁有者或單位，在公司內部的哪個業務流程或成員，會蒐集、處理或利用個資的人員而言，我們須確保每一位個資保護的角色和職權，都已經明確清楚。

落實資料盤點，透過資料流程圖來掌控資料輸出輸入過程

步驟3：在啟動資料保護計畫之前，必須要落實資料與資訊盤點清冊。因為，「企業無法保護不了解的資料」除了資料暫存格式和結構須有一致共識，對組織所有持有或處理的個資，也都要依照相關格式，記錄在盤點清冊之中。

這樣的盤點清冊，至少必須包括下列內容：存放個資的系統名稱，例如ERP或CRM；資料的分類方式，例如紙本或電子形式；處理該資料的目的，是為了行銷或是其他交易目的；以及是否有其他法源依據、資料保存期限、資料擁有者（Data Owner）或是其他第三方單位共享資料的身分為何等等。而這樣的資料盤點工作，必須由資料擁有者負責完成，但由資料保護長從嚴審查。

步驟4：繪製資料流程圖，讓所有利害關係人，可以快速知道個資將如何被處置。透過流程圖，呈現每一項資料處理作業或事業單位間，資料的輸出輸入過程。而這樣的資料流程圖必須包含資料細節、資料取得來源、儲存地方，以及在組織內由哪些單位傳遞、處理資料的系統名稱、可能傳輸資料的第三方單位相關細節資訊，同時，也必須記載資料將於何時以何種方式被銷毀。這個流程圖的繪製，也同樣必須由資料擁有者負責，並由資料保護長從嚴審查。有了這樣的資料流程圖，最大的好處就是，可以幫助組織快速掌握資料的位置，並且有助於即時回應，協助資料當事人行使當事人等相關權利的作為。

圖片來源／臺灣BSI

因為「無法保護不了解的資料」，所以企業在啟動資料保護計畫之前，就要先針對相關資料與資訊來盤點、造冊，透過確認盤點清冊的格式與結構，釐清企業內個資種類及使用目的，甚至存放在哪些系統、法源依據及保存期限，都可以透過這樣的盤點清冊，凝聚跨部門的共識。

掌握資料蒐集最小化的原則，不蒐集沒有必要蒐集的個資

步驟5：確認蒐集資料適足性和適量性，盤點所有資料清冊和資料流程圖中的資料，並自問「是否真的需要這個資料」以及「如何取得這個資料」和「資料是否使用得當」等問題。在資料使用最小化原則下，面對非必要的資料，公司或機關團體應刪除並停止蒐集。長期而言，需要維護的資料越少，在資料保護的遵循性上，花費的精力越少。

步驟6：須確保資料處理者的職權。包括確保蒐集的資料，已經透過正式合約確保適度的安全性與隱私性，也有權進行稽核與抽查確保相關的合規性。身為資料控制者而言，則可以要求資料處理者（廠商）提出通過驗證，或符合某一資安標準的證明。

步驟7：不論資料蒐集和處理，都要取得明確有效同意。公司方面，須提供可以理解、容易接近、清楚辨識資料處理用途的同意書，且撤銷同意的方式，必須和提供同意書的方式一樣容易。

同意書是組織取得當事人同意作為處理個資的法源依據，確保目前取得的同意權都必須事先符合GDPR規範，不然，就必須重新取得資料當事人的同意，並留一份同意記錄，確認敏感性資料的蒐集，例如醫療、健康、保險理賠資料等；同時，組織也必須清楚傳達撤銷同意權的流程，是和提供同意的流程一樣簡單、清楚，並需要鑑別未成年人（臺灣法定年齡20歲，歐盟16歲）的資料使用同意書，獲得監護人的同意，否則，還是要重新取得監護人同意。

步驟8：須確保資料留存的時限，除非有繼續保存的必要性，資料一旦超過保存期限，最後，都必須以安全可靠的方式進行刪除和銷毀。

捍衛個資當事人的8大權利，個資通報流程必須時常演練

步驟9：因GDPR要確保當事人權利，組織必須回應如何捍衛資料主體權利。從治理角度來看，組織必須有清楚的態度和管理的標準作業流程，以回應8個資料主體所擁有的權利，包括：被告知權、近用權（存取權）、更正權、刪除權與被遺忘權、限制處理權、反對權、資料可攜權，以及拒絕自動化決策與剖析的權利。

以資料可攜權為例，組織必須讓資料當事人可以在不同服務之間轉移個資，而Google也於日前和幾家大廠合作，進行資料可攜的專案，即可證明這樣作法的必要性；像是刪除權就是要求供應商或其他第三方等資料控制者，抹除、停止使用當事人個資；另外，也有歐洲法院案例裁定，可以要求搜尋引擎從「不相關」或「過期」的個資結果當中，移除相關連結來實踐被遺忘權；當事人有權在特定情況下，提出反對資料處理的方式，除非資料控制者證明處理該資料具有重大正當的理由；只要資料當事人提出反對時，資料控制者都應該要立即停止處理該個資；同時，當事人也有權反對被納入自動化產生的剖析（Profiling）活動等特定服務。

步驟10：記錄所有的技術，以回應資料主體行使相關的權利。當中將包括：資料主體近用要求、限制處理和反對的權力、更正權、刪除權、拒絕自動化決策和剖析的權力，以及資料可攜權。

步驟11：因應資料外洩，須制定回應通報機制。GDPR規定，一旦發生個資外洩時，須在72小時內提報給該國個資保護機關；如果對當事人會帶來重大危害時，也必須立刻告知當事人。然而，在72小時內完成通報主管機關是大挑戰，必須搭配記錄資料外洩、發生資安事件的回應流程，而且，這個通報過程需進行定期測試，才能確保有效回應。

步驟12：要維持資料安全與防護。包括紙本和電子資料，都要先審查盤點清冊、資料流程圖和接收、分享與傳輸的資料，並審查相對應的安全規範，例如ISO 27001等，確認是否有任何潛在資安疑慮，必須進行審查或修補，包括靜態與動態資料都必須完成相關作業。

落實PbD，產品設計納入資安觀念

步驟13：制定並落實隱私衝擊評估的基準。不論是「隱私保護設計（Privacy by Design，PbD）」或「隱私保護預設（Privacy by Default，PbD）」都被視為保護隱私的最佳實務，組織必須從風險管理的角度，針對個資主體進行資料隱私保護衝擊評估（DPIA），建議一項隱私衝擊評估基準，並針對現有已經儲存或處理的資料進行審查，有可能會一律呈報給管理階層，進行審查。

而這項隱私衝擊評估，並非明定在GDPR的任何一個條文中，但如果發生個資外洩事件，或者是主管機關判定組織不合規的情況，而在調查過程中，發現到這些漏洞或流程缺陷，都是可以在進行DPIA時就被發現，此時，組織受到的罰款可能比預期更高。因此，落實隱私衝擊評估是一種組織的自保之道。

步驟14：應落實隱私衝擊評估。不論是「隱私保護設計」或者是「隱私保護預設」機制，當中都表示了一個重點，隱私衝擊評估都必須考慮下列情況：新蒐集或處理個資，以及將組織既有個資用於新用途與目的，在上述兩種狀態下，都必須重新執行隱私衝擊評估作業，而這些評估應該都是基於一致性、系統化以及可重複進行的方法，並且要將過程記錄存檔。

落實隱私衝擊評估作業時，我們可以透過在既有的作業流程中，增加種種控制項或觸發機制，來達成系統生命週期（SDLC）、專案管理、變更管理和採購程序等。例如，在進行變更管理時，就可以在變更需求表單中，新增一個個資控制項的確認，例如，「此變更是否需要重新蒐集個資？或將原有個資做其他用途？。如果答案是「是」，就被視為應該要重新啟動隱私衝擊評估作業。

管理階層參與個資保護，已成法遵基本要求

步驟15：管理階層的參與，被視為資料保護的最佳實務，但在GDPR實施後，這已成為最新的法令規範。包括董事會或組織管理高層，都會受到展現對資料保護工作的參與要求，且要掌握組織內部資料處理狀況；蒲樹盛建議，資料保護長必須將組織目前資料保護概況，作為董事會會議的固定報告議題，並協助管理階層參與資料保護工作，了解法令規範，而且，資料保護長必須將相關資訊與績效指標，呈報給管理階層與董事會成員，以取得共識。

相關的績效指標，可以包含：事件、未遂事件、資料主體權利行使要求、隱私風險監管與隱私衝擊評鑑的結果，或是與第三方分享的資料，以及遵循性監管計畫等等。

步驟16：組織維護資料處理作業，都必須有詳細的記錄（包含Log），這演變成基本的法定責任。這裡記錄的內容範圍，涵蓋了資料盤點、資料流程圖、通報回應到維護資料安全與防護等，也可以新增其他內容，包括：資訊記錄、資料留存記錄、第三方單位傳輸記錄、資料主體權利行使要求記錄、資料主體權利行使相關處理記錄、訴願記錄，以及資料處理者監管記錄等。

不只是實施教育訓練，還要公開資料保護政策與隱私政策

步驟17：教育訓練是提升員工認知資料保護重要性最有效的方法。GDPR要求，組織要確保所有員工，都已經接受和其職能相對應的適當訓練，從到職之處，至少每年，都應該接受資料保護的相關訓練；如果是日常作業，就必須針對接觸個資的關鍵員工，施以適切的訓練，使其獲得妥善保護資料的作法。

步驟18：要求對內制定資料保護的政策。從組織內部觀點而言，必須重新界定目前的資料保護政策，以回應先前的產出成果，相關的政策也必須說明，其運作方式是如何符合GDPR的原則，並為員工提供適當的資料保護指南。

為了符合透明化和明確化的義務，組織的資料保護政策，也應成為對員工的內部隱私聲明，同時須明確指出，雇用期間對員工個資的處理方式，包括蒐集處理利用的方式？原因？保存期限等。

步驟19：對外發布隱私權聲明，針對顧客及第三方，明確說明資料被儲存或處理的作業性質與內容。為了符合GDPR要求的透明化，以明確性的責任義務，組織的隱私權聲明必須在資料蒐集的每一個過程中，都可以被查看或取得，讓外部利害關係人知道：組織擁有的資料用在哪裡？擁有個資的原因？處理的方式？儲存的地點？保留的時間？資料主體擁有的權利？資料共享的對象？以及個資當事人如果有隱私方面的疑問，可以諮詢哪些對象等等。

步驟20：無礙的溝通。透過公開更新過的資料保護政策與隱私聲明，可以提供所有相關的內部、外部利害關係人，對於所有相關的資料主體而言，都可以被視為：已經知道組織如何保護個資的相關作法，並且知道如何行使相關的當事人權利。

 專家小檔案 　臺灣BSI總經理 蒲樹盛

 簡介 

專長為資訊安全及營運持續管理，在國際標準及驗證產業擁有近20年的資歷，為業界倡導風險管理之先驅，擅長分析各式風險對企業的衝擊，並提供因應作為與策略規畫的見解。

長期以來，他在臺灣推行資訊安全治理，成效斐然，經常受邀為政府部門及民間企業提供指導及建議，並促進產業發展合作，成功將國際標準拓展及建立於政府、電信、金融等行業，奠定了極具領導地位的專業知名度。

目前，他亦擔任中華民國電腦稽核協會（CAA）常務理事，以及行政院資通安全外部委員，並將持續運用BSI一個世紀以來制定管理標準的經驗，引領國內企業組織建置完善的管理流程，邁向永續經營。

 專業能力 

● 風險管理（Risk Management）

● 企業社會責任（CSR）

● 資訊安全管理（Information Security Management）

● 品質管理

（Quality Management）

● 擔任講座：財政部財稅人員訓練所、證券期貨發展基金會、金融監督管理委員會、中華公司治理協會、證券公會、企業及大學講座（列舉部份）

 影片連結  iThome大話資安直播影片：達成GDPR遵循性的20個步驟