從今年的5月25日後,各界對於GDPR的討論已經從條文內容理解,慢慢進步到應該如何落實在企業的層面,隱私不是橫空出世、無中生有的概念,涉及許多的風險控管議題,而當主管監理機關對於企業的隱私保護工作,提出了更多的要求,以及媒體的宣導等,在這些因素的推波助瀾之下,社會大眾、企業越來越重視隱私。

對企業和組織而言,隱私工程是隱私治理的一環,當每個企業都必須面對如何確保隱私的安全性,以及落實隱私保護時,隱私工程勢必將成為持續關注的焦點議題。那麼,我們又該如何從組織營運的角度,來看待隱私工程呢?

資誠智能風險執行董事張晉瑞表示,隱私工程是協助企業做好隱私保護的手段和技術,然而,企業的營運卻不是為了保護隱私,該如何在這兩者之間找到共同努力的方向?重點在於,企業必須要把隱私當成作業風險管控的環節,才是務實看待隱私工程的面向。

安永企管顧問資深協理魯君禮:只要所有個資的蒐集、處理及利用,可以做到資安(正確性;完整及保密)和當事人基本權利保護(公正、合法),就可以落實GDPR對企業要求的個資處理原則;至於預設隱私(Privacy by design)是企業必須承擔的責任與基本精神。

隱私保護是作業風險控管環節之一

或許很多人記得,在1993年有一則網路漫畫,畫的是「在網路世界中,沒有人知道你是一條狗」,但20年後,紐約大學有一個針對社交媒體推特(Twitter)的研究顯示,在現在的資訊社會下,「大家不但知道你是一條狗,還知道你的毛色是什麼。」20年過去,隨著技術演進越來越先進,也帶出更深的隱私保護觀念。

張晉瑞認為,企業主要任務是業務營運,而非隱私保護,因此,隱私工程應該是作業風險控制措施的一還,從法規遵循的角度來看,並非採購特定的工具就算合規,而是必須要考量「最適化」與「必要性」,不一定單靠採用特定的技術,才能達到法規遵循的要求。

企業在意的是「風險管理」,隱私其實是企業風險管理的其中一個關注重點而已,企業面臨的其他風險,甚至還包括:品牌形象、產業特性、客戶信任度等等,因此,企業在面對GDPR的個資隱私保護的法規要求時,必定要回歸到一個最重要的原點,那就是:「當初收集這些個人資料的特定目的是什麼?」

企業要做好風險管理,首先,要知道風險在哪裡,針對可能產生的風險做出評估,以及執行隱私衝擊分析(PIA)、風險評鑑(RA),並且針對無法接受的高風險,透過各種降低風險、轉移風險、接受風險,甚至是不理會風險的方式來因應。

他說:「只有當企業知道為什麼要收集這些個人資料時,知道使用的目的是什麼,企業才能夠知道要採用什麼技術措施,來落實相關的個資保護。」

張晉瑞指出,隱私不等於資安,資安卻是達成隱私保護的重要手段,而且,也必須注意,企業即便做好了資安,並不代表隱私合規已經落實且完善。

他進一步解釋,傳統資安在乎的是,對於未授權的存取,有嚴格的控管,但隱私保護更在意的地方是,除了授權存取之外,同時還需要檢視是否妨害當事人的權利與自由,「這些個資你可以使用,但有沒有逾越當初蒐集個資時的特定目的?有沒有將個資轉售營利?這些都是隱私議題。」張晉瑞說。

安永企管顧問資深協理魯君禮表示,臺灣2010年通過個人資料保護法,並在2012年通過個人資料保護法施行細則,但可以看出臺灣企業對於隱私保護的觀念並不完善。他認為,隱私權和個資保護並不可以畫上等號,因為隱私權的範圍遠遠大於個資保護的範圍,所以,歐盟在制定GDPR的法規時,採用的是保護個人資料而非保護隱私的定義。

魯君禮認為,隱私其實是一種免於被他人打擾的自由,但現在處於網際網路普遍發展的時代,個資大量被揭露、網路上有各種個資的流傳,他說:「我的資料想讓誰知道,誰就可以知道;不想讓誰知道,誰就不可知道。」因為憲法並沒有明定人格權和隱私保護(資訊隱私)的概念,主要是透過大法官釋憲的方式,去保障相關資訊隱私權的權利:而資訊自主權,就是促進個人資料合理使用、資料自由流通,讓所有的個人資料好好用、合理用、尊重別人的用。

做好隱私工程的關鍵原則

資誠智能風險執行董事張晉瑞:隱私工程是協助企業做好隱私保護的手段和技術,企業必須要把隱私當成作業風險管控的環節,才是務實看待隱私工程的面向。

企業應該如何開始著手及落實隱私工程呢?張晉瑞認為,首先就是要了解企業要保護的標的是什麼,因為GDPR將企業區分成兩種角色:控制者(Controller)和處理者(Processor),而不論是在歐盟境內營運,或者是對歐盟地區自然人提供產品或服務等,企業只要有蒐集處理歐盟地區自然人個資的相關情況,就適用GDPR的規範。

當企業想要知道是否處於GDPR規範的範圍內,本身就要先了解各種個資使用情境和特定目的,也必須知道這個情境會對企業帶來多大的衝擊。我們必須確定的是,如果在GDPR規範內的個資蒐集、處理和利用等,在相關作業流程上,會面臨到哪些風險;在確認可能面臨的各種情境後,企業才去決定是否透過人工方式或是進行相關的系統開發,甚至是採用其他自動化工具去因應。

落實隱私保護需要投入許多資源,張晉瑞表示,企業必須要在作業風險層次因應GDPR的法遵要求時,所共同面臨的困擾就是:許多企業會把「隱私」這件事情,當成是IT部門或者是資安部門人員的天職,但實際上,企業必須從各種流程、情境上來進行判斷,才能發現隱私風險藏在哪裡,「因為,當企業流程會貫穿每一個部門同仁時,隱私保護就不是單一的資訊或是資安部門同仁的事情而已,是全公司的人都要一起面對的作業風險。」他說。

企業擁有個資的業務單位和資料使用單位,都必須共同承擔隱私保護的責任,因此,如果企業不夠了解作業流程,就無法找到隱私風險。

張晉瑞以銀行行員手抄催收呆帳客戶相關的資料為例,這是該名銀行行員的工作內容,表面上,這個員工認真努力,但只要深入了解,就會知道這是個資隱私保護的高風險行為,尤其當行員抄寫的內容,是公職人員或是臺灣前500大企業的員工資料時,相對地,這些名單也是民間放款的高利貸業者積極鎖定的名單,但這樣的流程必須經過流程盤點才會知道。

隨著GDPR實施,美國也有一些對抗的措施,例如,日前剛通過的加州消費者隱私保護條例。魯君禮說,這個法案剛開始提出來的時候,包括臉書、Google、微軟和IBM等企業,表示會尊重客戶隱私,但這四家企業後來竟付費給遊說團體,希望不要通過該法,只不過,當時加州民眾受夠大型企業濫用個資,最後是無異議通過該法。

企業越早納入隱私保護概念,後續的管理成本越低

若進一步理解美國的隱私保護概念,與歐盟的作法之間,其實有差別。

美國認為,隱私是自由民主的基礎,但隱私是自己的權利,所以,自己的權利要自己做好相關的保護;但歐盟各國林立,要協調出各國採行相同的隱私保護觀念很難,不過,歐盟還是有最重要的共通主張,那就是,隱私是一種基本權力,等同於人權的概念,而當社會上的弱勢團體(人民)無法保護自己權益時,該怎麼辦呢?因此,歐盟政府便有責任要保護弱勢,這與美國民眾主張自我權益要自己保護就有極大的不同。

例如,GDPR明確規範當事人有權拒絕被大數據分析,這也是企業對於隱私保護上,現階段最容易遇到的挑戰。當各行各業在大數據的應用越來越成熟、有效果時,如果合乎GDPR規範的企業,遇到當事人拒絕受到大數據的剖析時,企業的因應方式為何呢?

張晉瑞認為,企業從作業流程回推的話,就是回到為什麼要蒐集這些個資的特定目的是什麼?而企業希望大數據分析的目的是什麼?這些目的會使用到哪些個人資料,只將有需要用到的個資,才放到資料倉儲的系統作為分析之用。

「越早思考個資隱私對企業帶來的衝擊,越早期就做好因應措施,企業付出的成本也越低。」他說,企業必須拋棄過往「資料蒐集越多越好的心魔,以往資料在手、商機無窮的理論必須被顛覆,只留下有需要、符合業務使用目的的個資,因為,資料蒐集越多、要承擔個資保護的責任也越大。

個資隱私保護都不可能單獨交由資訊部門負全責,張晉瑞表示,大家都認同,在系統開發過程中,越早考量隱私和個資保護的議題,了解作業流程面臨的隱私需求和風險,管理成本就越小,越可以達到適當保護個資的效果。

如果從企業角度看,做到什麼樣程度才可以安心、可以符合法遵的要求呢?對於資料保護要做到什麼程度和狀態才真正合規呢?張晉瑞表示,法遵的要求會一直出現,企業不能說,等到掌握所有法遵要求後,才開始著手因應,時間上會來不及,反而是,當知道現階段面臨的風險有什麼,就先做什麼因應。

但是,企業是否要追求技術性的解決方案呢?張晉瑞說,技術手段和工具不是萬靈丹,像是機敏資料去識別化後,不表示,這些去識別化後的資料,不會被有心人士從其他管道識別到當事人。他舉例,紐約市政府有一個出租車及轎車的委員會,在2013年曾經公佈1億7千3百多萬筆的行車資料,相關個資去識別化,連GPS定位資料也模糊到一萬平方公尺,但就有資料科學家透過狗仔隊跟拍名人明星有時間戳記的照片,就可以識別出名人明星出門的路徑和活動趨勢,重新把已經去識別化的資料,又連結到原本的資料了。

目前歐盟GDPR還沒有推出相關的隱私保護標章,現階段,張晉瑞建議企業可以參考包括大家熟悉的安全管理認證ISO 27001系列,或者是ISO 29100隱私保護框架、ISO 29134隱私衝擊分析,甚至是ISO 27550隱私工程保護標準。透過這些國際標準,作為企業從營運治理因應個資隱私保護的管理標準與框架。

 

掌握GDPR個資處理原則

不過,GDPR個資處理原則第一要件,就是要做到「合法、公正且透明」,魯君禮表示,原本歐盟指導綱領的規定只有合法(Lawfulness)而已,後來也納入英國在BS10012的標準提到個資處理必須做到公平公正(Fairness),所有作業流程也要做到透明(Transparency)不要黑箱作業,第一要件往往是最重要的規定。

再者,目的限制就是要明定個資使用的特定目的,必須適當且合理關連;其次,要做到資料最少收集,包含業務端、IT技術端,所有資料收集利用都要最小化,這與隱私工程直接相關,但這不應該只是IT工程師的事情,對企業而言,業務、法遵、IT單位都要接受,因為之前大家對於隱私保護的觀念薄弱,往往會擔心最小收集的方式,會影響企業營運目標,所以執行業務的單位就是第一個關卡。他認為,只要先建立正確隱私保護的觀念、知識以及管理基礎後,隱私保護就會對企業營運帶來正向的影響。

第四要件必須做到正確性,第五要件則是達到資料完整及保密,這兩個要件就回到資安環節。魯君禮進一步解釋,要做到個資保護其實很簡單,只要所有個資的蒐集、處理及利用,可以做到資安(正確性;完整及保密)和當事人基本權利保護(公正、合法),就可以落實GDPR對企業要求的個資處理原則;至於預設隱私(Privacy by design)是企業必須承擔的責任與基本精神,歐盟的GDPR已經是個資保護的高標準,而現在,則要把這種隱私保護的觀念推廣到全世界。

延伸閱讀

張晉瑞:從隱私治理層次來談隱私工程

魯君禮:化繁為簡談隱私工程與GDPR


Advertisement

更多 iThome相關內容