在2019年影響臺灣組織或企業的法遵議題,包括:在2019年1月1日正式實施的「資通安全管理法」;2018年6月美國加州議會通過的「加州隱私法」,預計在2020年7月實施,而這項法案可能會影響到美國「聯邦隱私法」制定;以及2018年9月通過,預計2020年1月1日實施的「物聯網(IoT)裝置資訊隱私法案」(SB-327 Information Privacy: Connected Devices)。

此外,在2018年1月13日正式生效的歐盟第二次支付服務指令(Second Payment Services Directive,PSD2),強調金融銀行業者要開放API給第三方服務業者或外部人員,使其可以存取資料,其中,PSD2的監理技術標準(Regulatory Technical Standards,RTS)預計要在2019年9月才會推出。

資安法影響政府和關鍵基礎設施,金融監管要強化資安管理力道

行政院資安處處長簡宏偉表示,除了關鍵基礎設施業者外,包括政府及相關法人單位等,都將從2019年1月1日起,適用「資通安全管理法」,在第一年的施行階段,仍將以輔導為主,希望能鼓勵適法機關落實相關的法遵要求。

他也說,關鍵基礎設施的部份必須要經過指定程序後,才能確認哪些是關鍵基礎設施業者,資安處預計1月開始執行相關的指定程序,邀請政府部門、民間社群與業者及相關學者,共同指定哪些對象是臺灣的關鍵基礎設施,預計在6月底前完成指定程序,並於7月1日開始適用「資通安全管理法」的規定。

簡宏偉指出,資安法通過後,第一個影響的就是A、B、C級的政府機關,必須要有4人、2人和1人的專責資安人力,解套方式就是透過IT向上集中,讓真正面對風險、有資源的部會,承擔多一點資安責任。「目前政府規畫的A、B級機關過多,有調整的必要。」他說。

資誠智能風險執行董事張晉瑞表示,臺灣金融業於今年3月起,都必須簽署資訊安全整體執行情形聲明書,揭露應加強事件以及改善計畫,這個監管作為也會強化金融業強化資安的力道。

GDPR力道不減,美國推加州隱私法擴大個資保護範圍

國際法遵部份,GDPR影響力未見削減,2018年有一些GDPR裁罰案例出爐,罰金看似不高,並不是歐盟裁罰企業的力道縮手,而是受罰業者都有善盡個資保護之責,所以,歐盟只針對防護不足之處裁罰而已。因應GDPR,企業和組織要從隱私工程的技術面逐步提升,進一步理解如何應用技術落實法條規範,適法難度也逐步增強。

KPMG資訊科技諮詢服務執行副總經理謝昀澤表示,為了對抗歐盟推出的GDPR,美國加州議會在2018年6月通過「加州隱私法」,預計2020年7月實施,該項法案也擴大個資認定的範圍,例如,加州隱私法就把家庭使用電力和自來水的資料視為個資。

「加州隱私法」也允許民眾有權檢視業者所蒐集的個資、蒐集這些資料的目的,以及分享的對象,也能要求刪除這些資料或拒絕分享,倘若業者處理不當,就可能面臨來自消費者的訴訟。

謝昀澤說,臺灣許多高科技業者都是美國品牌業者供應鏈的一環,號稱輕量版GDPR的「加州隱私法」於2020年7月正式實施,基於供應鏈業者要求,將成為臺灣高科技業者新一波的法遵要求。

加州隱私法規範相當嚴格,引發臉書、Google、IBM、微軟與其他業者的關切,他們共同透過遊說團體推動新版的「聯邦隱私法案」,避免嚴格的「加州隱私法」成為其他各州的參考典範。

身為科技重鎮的加州,也在2018年9月,由加州議會通過全美國第一個物聯網(IoT)法案,就是針對物聯網裝置的資訊隱私法案(Information Privacy: Connected Devices),預計在2020年1月1日生效。謝昀澤表示,製造商必須為物聯網裝置提供合理的安全功能,包括從外網登入的連網裝置,如果採用預設密碼登入,密碼都必須是獨一且不可能重複外,也必須提醒首次登入的使用者,必須變更自己的密碼。他認為,這個法案會影響臺灣許多物聯網相關產業以及物聯網設備安全,因此,相關業者在2019年都不可忽略該法的影響力。

PSD2要求銀行提供Open API給外部存取

開放銀行的風潮已經是全球金融業不可迴避的議題,歐盟第二次支付服務指令(PSD2)便強制要求銀行必須提供Open API,讓外部的第三方機構或是人員可以存取銀行內部的資料。

在開放之餘,歐盟更制定嚴格的安全規範─PSD2監理技術標準(RTS)草案,規定更嚴格的資安機制,例如通訊傳輸全加密、強顧客授權(SCA),甚至強制要求採用雙裝置驗證或雙App授權等資安措施,就是為了避免第三方可以存取銀行內部資料後,反而造成銀行內部資料外洩的風險。

目前PSD2的影響深遠,預計超過4千個歐洲的金融服務業者,都會受到衝擊,在RTS正式推出前,相關的供應商必須在3月先公開他們要使用的第三方互動的方法,並且提供測試環境或沙箱,可以彼此交互檢測安全性。

臺灣BSI營運長謝君豪表示,國際化浪潮下,每一個企業組織必須要有能夠鑒別新業務該遵守哪些當地法律的能力,才跟得上趨勢。


Advertisement

更多 iThome相關內容