英國標準協會(BSI)臺灣分公司總經理 蒲樹盛 (攝影/洪政偉)

臺灣中小企業眾多,加上缺乏針對個資保護的主管機關,多數負責管理臺灣中小企業個資隱私議題的單位,多是由地方政府擔任目的事業主管機關,其中,也有很多中小企業不知道何處搜尋相關歐盟GDPR(通用資料保護規則)的資源管道,僅止於相關實務與經驗的分享,並不做法律見解。

之所以如此,在於這個仍在發展中的GDPR,即便是律師,都不容易找到共通或明確答案,加上各國對於個資隱私的判例,嚴苛或寬鬆不一,更使得因應GDPR法遵議題的難度增加,也因為這是一個還在發展中的法規,所以,會有一段適應期。

對此,臺灣BSI總經理蒲樹盛提供了20個GDPR遵循性的作法。這是由英國總部加上BSI各國分公司綜合出來的實務上的經驗,透過提綱挈領的方式,有助於企業掌握每一個步驟的核心議題,如此一來,就可以比較容易因應GDPR的法規要求。

制定各國隱私保護高標準,以20個步驟融入公司營運流程

歐盟推出GDPR保護個資隱私,主要有五個原則和目的。首先,希望可以強化8個當事人個人權利,讓當事人權利可以真正受到保障,因此,企業保護個資的挑戰會越來越大。例如,5月28日有法國民眾跟該國個資主管機關CNIL提告,控訴Google蒐集個資時,不夠尊重當事人權利。而從這個事件當中,我們也可以發現,全球各地所有民眾對於當事人權利的要求越來越高,而歐盟有28國,在各國民眾提告後,法院的判例和見解也會有所不同。

其次,要制定嶄新、清楚且周密的法規,確保個人資料可以自由合理流通。第三個原則和目的,是須確保相關法規實施的一致性。接著,樹立全球資料保護的新標竿,拉高個資保護的標竿,而這也會有外溢效應,因為,當人和資料會四處移動時,原本以為不適用GDPR的產業,可能會變成適用GDPR範圍的產業,這也讓各國跟進制定隱私保護的高標準。最後一個重點,則希望透打造一套可以適用於各個產業的資料保護黃金原則。

透過20個步驟提供臺灣企業用戶參考之餘,蒲樹盛再次強調,個資隱私保護在組織內部,不應該是特定個人或個部門的事。

因此,他進而將20個步驟,區分成下列四大類別。

一是管理和組織階層的治理步驟,共有6個;二是用來保護個人權利的技術步驟,則有4個;三是用來執行使用資料流的日常活動的作業步驟,有6個;最終是對內、對外和利害關係人進行溝通的進行步驟,總共有4個。

確認資料控制者與處理者的職權,組織設立資料保護長

基本上,這20個達成GDPR遵循性的步驟,是以一種條理化、系統化與邏輯化的方法進行,目的是為了幫助組織整合既有的架構。

步驟1:只要公司機關或核心業務涉及歐盟個資處理,也為了確保資料控制者(Data Controller)和資料處理者(Data Processor)有效遵循法規,此時,就必須指派資料保護長(DPO)。

不論DPO本身的存在,是否屬於另外成立一個正式職位,整體而言,維護資料保護和隱私安全的職責,都必須正式地指派給某一個人或單位負責,不論是指派原有員工擔任資料保護長,或者是新增一個職位,甚至是委員第三方單位派遣擔任資料保護長,這個人員都必須有效依法履行職責,一旦違犯GDPR規範,資料保護長將被追究法律責任。

同時,不管是採取何種方式,組織都必須確保資料保護長,要能符合所有必要的訓練及能力要求,更重要的是,該資料保護長和組織營運業務必須沒有任何利益衝突,這當然會增加組織成本,但可確保組織有能力符合法遵規定。

步驟2:就是要明定相關的資料保護權責義務。對於個資的擁有者或單位,在公司內部的哪個業務流程或成員,會蒐集、處理或利用個資的人員而言,我們須確保每一位個資保護的角色和職權,都已經明確清楚。

落實資料盤點,透過資料流程圖來掌控資料輸出輸入過程

步驟3:在啟動資料保護計畫之前,必須要落實資料與資訊盤點清冊。因為,「企業無法保護不了解的資料」除了資料暫存格式和結構須有一致共識,對組織所有持有或處理的個資,也都要依照相關格式,記錄在盤點清冊之中。

這樣的盤點清冊,至少必須包括下列內容:存放個資的系統名稱,例如ERP或CRM;資料的分類方式,例如紙本或電子形式;處理該資料的目的,是為了行銷或是其他交易目的;以及是否有其他法源依據、資料保存期限、資料擁有者(Data Owner)或是其他第三方單位共享資料的身分為何等等。而這樣的資料盤點工作,必須由資料擁有者負責完成,但由資料保護長從嚴審查。

步驟4:繪製資料流程圖,讓所有利害關係人,可以快速知道個資將如何被處置。透過流程圖,呈現每一項資料處理作業或事業單位間,資料的輸出輸入過程。而這樣的資料流程圖必須包含資料細節、資料取得來源、儲存地方,以及在組織內由哪些單位傳遞、處理資料的系統名稱、可能傳輸資料的第三方單位相關細節資訊,同時,也必須記載資料將於何時以何種方式被銷毀。這個流程圖的繪製,也同樣必須由資料擁有者負責,並由資料保護長從嚴審查。有了這樣的資料流程圖,最大的好處就是,可以幫助組織快速掌握資料的位置,並且有助於即時回應,協助資料當事人行使當事人等相關權利的作為。

 

圖片來源/臺灣BSI

因為「無法保護不了解的資料」,所以企業在啟動資料保護計畫之前,就要先針對相關資料與資訊來盤點、造冊,透過確認盤點清冊的格式與結構,釐清企業內個資種類及使用目的,甚至存放在哪些系統、法源依據及保存期限,都可以透過這樣的盤點清冊,凝聚跨部門的共識。

 

掌握資料蒐集最小化的原則,不蒐集沒有必要蒐集的個資

步驟5:確認蒐集資料適足性和適量性,盤點所有資料清冊和資料流程圖中的資料,並自問「是否真的需要這個資料」以及「如何取得這個資料」和「資料是否使用得當」等問題。在資料使用最小化原則下,面對非必要的資料,公司或機關團體應刪除並停止蒐集。長期而言,需要維護的資料越少,在資料保護的遵循性上,花費的精力越少。

步驟6:須確保資料處理者的職權。包括確保蒐集的資料,已經透過正式合約確保適度的安全性與隱私性,也有權進行稽核與抽查確保相關的合規性。身為資料控制者而言,則可以要求資料處理者(廠商)提出通過驗證,或符合某一資安標準的證明。

步驟7:不論資料蒐集和處理,都要取得明確有效同意。公司方面,須提供可以理解、容易接近、清楚辨識資料處理用途的同意書,且撤銷同意的方式,必須和提供同意書的方式一樣容易。

同意書是組織取得當事人同意作為處理個資的法源依據,確保目前取得的同意權都必須事先符合GDPR規範,不然,就必須重新取得資料當事人的同意,並留一份同意記錄,確認敏感性資料的蒐集,例如醫療、健康、保險理賠資料等;同時,組織也必須清楚傳達撤銷同意權的流程,是和提供同意的流程一樣簡單、清楚,並需要鑑別未成年人(臺灣法定年齡20歲,歐盟16歲)的資料使用同意書,獲得監護人的同意,否則,還是要重新取得監護人同意。

步驟8:須確保資料留存的時限,除非有繼續保存的必要性,資料一旦超過保存期限,最後,都必須以安全可靠的方式進行刪除和銷毀。

捍衛個資當事人的8大權利,個資通報流程必須時常演練

步驟9:因GDPR要確保當事人權利,組織必須回應如何捍衛資料主體權利。從治理角度來看,組織必須有清楚的態度和管理的標準作業流程,以回應8個資料主體所擁有的權利,包括:被告知權、近用權(存取權)、更正權、刪除權與被遺忘權、限制處理權、反對權、資料可攜權,以及拒絕自動化決策與剖析的權利。

以資料可攜權為例,組織必須讓資料當事人可以在不同服務之間轉移個資,而Google也於日前和幾家大廠合作,進行資料可攜的專案,即可證明這樣作法的必要性;像是刪除權就是要求供應商或其他第三方等資料控制者,抹除、停止使用當事人個資;另外,也有歐洲法院案例裁定,可以要求搜尋引擎從「不相關」或「過期」的個資結果當中,移除相關連結來實踐被遺忘權;當事人有權在特定情況下,提出反對資料處理的方式,除非資料控制者證明處理該資料具有重大正當的理由;只要資料當事人提出反對時,資料控制者都應該要立即停止處理該個資;同時,當事人也有權反對被納入自動化產生的剖析(Profiling)活動等特定服務。

步驟10:記錄所有的技術,以回應資料主體行使相關的權利。當中將包括:資料主體近用要求、限制處理和反對的權力、更正權、刪除權、拒絕自動化決策和剖析的權力,以及資料可攜權。

步驟11:因應資料外洩,須制定回應通報機制。GDPR規定,一旦發生個資外洩時,須在72小時內提報給該國個資保護機關;如果對當事人會帶來重大危害時,也必須立刻告知當事人。然而,在72小時內完成通報主管機關是大挑戰,必須搭配記錄資料外洩、發生資安事件的回應流程,而且,這個通報過程需進行定期測試,才能確保有效回應。

步驟12:要維持資料安全與防護。包括紙本和電子資料,都要先審查盤點清冊、資料流程圖和接收、分享與傳輸的資料,並審查相對應的安全規範,例如ISO 27001等,確認是否有任何潛在資安疑慮,必須進行審查或修補,包括靜態與動態資料都必須完成相關作業。

落實PbD,產品設計納入資安觀念

步驟13:制定並落實隱私衝擊評估的基準。不論是「隱私保護設計(Privacy by Design,PbD)」或「隱私保護預設(Privacy by Default,PbD)」都被視為保護隱私的最佳實務,組織必須從風險管理的角度,針對個資主體進行資料隱私保護衝擊評估(DPIA),建議一項隱私衝擊評估基準,並針對現有已經儲存或處理的資料進行審查,有可能會一律呈報給管理階層,進行審查。

而這項隱私衝擊評估,並非明定在GDPR的任何一個條文中,但如果發生個資外洩事件,或者是主管機關判定組織不合規的情況,而在調查過程中,發現到這些漏洞或流程缺陷,都是可以在進行DPIA時就被發現,此時,組織受到的罰款可能比預期更高。因此,落實隱私衝擊評估是一種組織的自保之道。

步驟14:應落實隱私衝擊評估。不論是「隱私保護設計」或者是「隱私保護預設」機制,當中都表示了一個重點,隱私衝擊評估都必須考慮下列情況:新蒐集或處理個資,以及將組織既有個資用於新用途與目的,在上述兩種狀態下,都必須重新執行隱私衝擊評估作業,而這些評估應該都是基於一致性、系統化以及可重複進行的方法,並且要將過程記錄存檔。

落實隱私衝擊評估作業時,我們可以透過在既有的作業流程中,增加種種控制項或觸發機制,來達成系統生命週期(SDLC)、專案管理、變更管理和採購程序等。例如,在進行變更管理時,就可以在變更需求表單中,新增一個個資控制項的確認,例如,「此變更是否需要重新蒐集個資?或將原有個資做其他用途?。如果答案是「是」,就被視為應該要重新啟動隱私衝擊評估作業。

管理階層參與個資保護,已成法遵基本要求

步驟15:管理階層的參與,被視為資料保護的最佳實務,但在GDPR實施後,這已成為最新的法令規範。包括董事會或組織管理高層,都會受到展現對資料保護工作的參與要求,且要掌握組織內部資料處理狀況;蒲樹盛建議,資料保護長必須將組織目前資料保護概況,作為董事會會議的固定報告議題,並協助管理階層參與資料保護工作,了解法令規範,而且,資料保護長必須將相關資訊與績效指標,呈報給管理階層與董事會成員,以取得共識。

相關的績效指標,可以包含:事件、未遂事件、資料主體權利行使要求、隱私風險監管與隱私衝擊評鑑的結果,或是與第三方分享的資料,以及遵循性監管計畫等等。

步驟16:組織維護資料處理作業,都必須有詳細的記錄(包含Log),這演變成基本的法定責任。這裡記錄的內容範圍,涵蓋了資料盤點、資料流程圖、通報回應到維護資料安全與防護等,也可以新增其他內容,包括:資訊記錄、資料留存記錄、第三方單位傳輸記錄、資料主體權利行使要求記錄、資料主體權利行使相關處理記錄、訴願記錄,以及資料處理者監管記錄等。

不只是實施教育訓練,還要公開資料保護政策與隱私政策

步驟17:教育訓練是提升員工認知資料保護重要性最有效的方法。GDPR要求,組織要確保所有員工,都已經接受和其職能相對應的適當訓練,從到職之處,至少每年,都應該接受資料保護的相關訓練;如果是日常作業,就必須針對接觸個資的關鍵員工,施以適切的訓練,使其獲得妥善保護資料的作法。

步驟18:要求對內制定資料保護的政策。從組織內部觀點而言,必須重新界定目前的資料保護政策,以回應先前的產出成果,相關的政策也必須說明,其運作方式是如何符合GDPR的原則,並為員工提供適當的資料保護指南。

為了符合透明化和明確化的義務,組織的資料保護政策,也應成為對員工的內部隱私聲明,同時須明確指出,雇用期間對員工個資的處理方式,包括蒐集處理利用的方式?原因?保存期限等。

步驟19:對外發布隱私權聲明,針對顧客及第三方,明確說明資料被儲存或處理的作業性質與內容。為了符合GDPR要求的透明化,以明確性的責任義務,組織的隱私權聲明必須在資料蒐集的每一個過程中,都可以被查看或取得,讓外部利害關係人知道:組織擁有的資料用在哪裡?擁有個資的原因?處理的方式?儲存的地點?保留的時間?資料主體擁有的權利?資料共享的對象?以及個資當事人如果有隱私方面的疑問,可以諮詢哪些對象等等。

步驟20:無礙的溝通。透過公開更新過的資料保護政策與隱私聲明,可以提供所有相關的內部、外部利害關係人,對於所有相關的資料主體而言,都可以被視為:已經知道組織如何保護個資的相關作法,並且知道如何行使相關的當事人權利。

 

 專家小檔案  臺灣BSI總經理 蒲樹盛

 

 簡介 

專長為資訊安全及營運持續管理,在國際標準及驗證產業擁有近20年的資歷,為業界倡導風險管理之先驅,擅長分析各式風險對企業的衝擊,並提供因應作為與策略規畫的見解。

長期以來,他在臺灣推行資訊安全治理,成效斐然,經常受邀為政府部門及民間企業提供指導及建議,並促進產業發展合作,成功將國際標準拓展及建立於政府、電信、金融等行業,奠定了極具領導地位的專業知名度。

目前,他亦擔任中華民國電腦稽核協會(CAA)常務理事,以及行政院資通安全外部委員,並將持續運用BSI一個世紀以來制定管理標準的經驗,引領國內企業組織建置完善的管理流程,邁向永續經營。

 

 專業能力 

● 風險管理(Risk Management)

● 企業社會責任(CSR)

● 資訊安全管理(Information Security Management)

● 品質管理

(Quality Management)

● 擔任講座:財政部財稅人員訓練所、證券期貨發展基金會、金融監督管理委員會、中華公司治理協會、證券公會、企業及大學講座(列舉部份)

 

 影片連結  iThome大話資安直播影片:達成GDPR遵循性的20個步驟


Advertisement

更多 iThome相關內容