KPMG數位科技安全部門副總經理邱述琛。

圖片來源: 

iThome

歐盟最嚴格個資法《通用資料保護規則》(General Data Protection Regulation,GDPR)自去年5月正式上路至今,帶來多大衝擊?

歐盟執委會(European Commission)今年1月,公布了GDPR隱私法案自2018年5月25日實施8個月以來的成果,顯示民眾已提出超過9.5萬個投訴案件,並有3家業者因違反GDPR而遭到懲處。

GDPR也規定業者,必須在發生資料外洩事件的72小時內,向當地的主管機關報告。根據英國一家名為DLA Piper的法律事務所,於今年2月公布的調查顯示,截至今年1月,主管機關所收到的資料外洩揭露件數超過5.9萬件。

歐盟執委會指出,歐盟民眾主要投訴的三大類別為電話行銷、電子郵件行銷,以及監視器。而且通常主管機關的調查,都是起因於當事人的申訴。

KPMG數位科技安全部門副總經理邱述琛,在今天(20日)的臺灣資安大會上,揭露了他對2019年GDPR關注重點與趨勢觀察。

邱述琛表示,自GDPR生效後,也加速了全球隱私法規的發展。去年年底,繼美國、墨西哥、日本、加拿大、南韓與新加坡後,臺灣與澳洲同時成為APEC跨境隱私保護規則(Cross-Border Privacy Rules, CBPR)體系的成員。

根據國發會的公告,APEC CBPR體系對企業及組織的隱私保護.是較低程度的要求。而APEC也正在力推與歐盟GDPR接軌互通。

「未來隱私在做跨境傳輸的時候,若沒有加入聯盟作為護身符的話,一定會受到許多限制。」邱述琛觀察,各國家與區域基於保護人民,以及維持競爭優勢,透過頒布隱私保護法規,也將成為趨勢。

IoT安全防護目標與重點

「資安與隱私保護,是智慧聯網應用的重點。」邱述琛點出,IoT安全防護的重點,分為三個方向,包括裝置安全、設備上資料的安全與個人隱私安全。

他進一步指出,裝置本身的安全,需防止裝置被用於惡意攻擊行為,企業要做好資產管理、弱點管理、存取管理與裝置安全事件監控。而設備上資料的安全,則是要確保其機密性、完整性與可用性,針對IoT裝置對於資料的收集、儲存、處理與傳遞,都得做到資料保護與資訊安全事件監控。

邱述琛表示,像是能監測心跳、監控GPS位置的智慧手錶,就是涉及個人隱私。然而,若是在橋墩下放了測量水位的感測器,就沒有涉及個人隱私問題。

而個人隱私安全,就是要在IoT設備處理個人識別資訊(Personally identifiable information ,PII)的安全,保護的作法包括資訊流管理、PII處理許可管理、知情決策、個資去識別化以及個資隱私洩露監控。邱述琛特別解釋知情決策,指的是使用者到底知不知道你會做這些事,以及他可不可以決定要不要做。

邱述琛也分享了丹麥的案例,解釋知情決策。為了合規,網站會在使用者到訪網站時跳出cookie,讓使用者選擇接受或不接受,但有些網站在使用者點選不接受時,結束網站,不讓使用者繼續瀏覽或使用服務。丹麥個資保護主管機關在收到民眾的投訴後,決議這樣的作法是違反GDPR,因為迫使使用者在壓力下,做出接受的選擇。

IoT隱私防護建議

隱私防護到底要做什麼?邱述琛建議,要建立告知用戶方式,利用系統告知。而在個資處理上,他也提出控制措施的建議,包括事先確認隱私屬性與安全需求,並取得隱私資料收集的授權,以及訂定隱私資訊使用目的規範。

而在資料流的管理,邱述琛也建議,企業要盤點個人識別資訊,並確認蒐集來的個人識別資訊與來源是正確的。

GDPR很大的一個概念是要將資料所有權,還歸於民。「隱私保護將翻轉服務型態。」邱述琛解釋,當資料所有權在人民手上,就能以人民為主體,選擇應用、服務,以及要選擇哪些組織來提供服務。

邱述琛個人也猜測,美國會出現聯邦隱私法,來對抗歐盟GDPR,也只有這樣才會夠力。他指出,美國參議院的一份調查報告顯示,國會應通過立法建立國家統一標準,要求收集和存儲PII的私人企業,採取合理與適當措施,以防止網路攻擊和資訊洩露。

隱私工程與SSDLC

「隱私工程是達成目標的具體方法,但得先弄清楚目標。」邱述琛表示,企業得先把風險搞清楚,也就是根據風險評估的結果,判斷去識別化的技術類型與程度。首先,要評估有哪些型態的資料、對外提供資料的方式,以及是否引發他人重新識別的意圖,他說,選擇了哪種釋出模型,會決定資料風險狀態。應該做完這些評估,才去選擇最適當的方法。

「只要在資安上去強化隱私,就可以解決GDPR的問題,這是很多人的盲點,只運用資訊技術是不足夠的。」邱述琛強調。

在落實隱私工程時,一定要把隱私保護納入智慧系統開發需求。首先,要做系統安全與隱私保護分析,分析完後要做威脅建模,以攻擊者角度,識別可能影響軟體系統的威脅,並進行評估。

後續,才能執行隱私工程,以威脅特性所對應的控制方針,並依據系統特性,設計可行控制措施。接著,進行安全測試,依據系統特性與原始安全需求分析結果,以黑、白、灰箱等方法進行安全測試。到了維運狀態時,就得進行元件更新與組態強化。「這整個生命週期都要做,而且不要跳關。」他強調。

邱述琛也提到,在專案初期的安全規畫,就要啟動營運衝擊分析與隱私衝擊評估,不能等到系統建置完成才啟動。

「去識別化可以大幅降低GDPR合規成本,因為GDPR不管去識別化的資料。」不過,邱述琛提醒,個人識別資料去識別化後,還是會有風險,例如不同的資料集之間,可能可以進行比對,所以,企業每一年都應不斷檢查釋出的資料,是否有增加風險。

最後,他也提到,GDPR最終的目的,是以加值應用與去識別化等互斥指標,取得最大交集,也就是企業建立競爭優勢的地方。他解釋,去識別化的程度越高,資料的運用價值就越低。「GDPR把全球的競爭拉回起跑點,誰跑得快,就是贏家。」邱述琛說。


Advertisement

更多 iThome相關內容