國發會6月接獲APEC通知,資策會成為APEC第9家跨境隱私保護規則CBPR認證的當責機構,是繼美國、日本、新加坡、南韓之後,第5個擁有當責機構的APEC會員經濟體。

圖片來源: 

圖/國發會

國際重要個資規範除了超嚴格的歐盟GDPR之外,在亞太,APEC組織也有一套自願性而非強制性的個資保護規範CBPR(跨境隱私保護規則體系),臺灣最近終於有了第一家CBPR當責機構(Accountability Agent),由資策會提供臺灣企業在地的CBPR認證服務。

資策會科法所組長林冠宇解釋,當責機構所扮演的角色,類似於國家指定的大考中心,為國內企業提供國際性CBPR認證服務,負責檢視企業的隱私保護與個資管理能力,是否符合CBPR認證標準。目前全球有9家提供CBPR認證的當責機構。

歐盟GDPR以強制力聞名,多家跨國企業因隱私資料不當利用而遭裁罰,CBPR是另一個較少提及,但也是國際重要的個資保護治理框架,這是美國在APEC力推的跨境隱私保護制度,已經通過發布10年了。林冠宇解釋,是因APEC作為亞太地區經濟合作對話平臺,為了推動不同國家的數位經濟與貿易交流,在隱私資料的治理層面也需訂定一套共同的法遵標準,因而催生了CBPR。

但與GDPR不同的是,CBPR並非是一套要求所有國家遵循的規範,而更像是一種參考框架,各國可依據CBPR制定各國自己的個資保護律法,並由各國自行對內執行與約束。它的精神,是在融合國際法遵標準的同時,又尊重各國法規體系的特色。

換句話說,歐盟要求各會員國的隱私法規,須逐漸修正趨近於GDPR規範,但CBPR是讓各國在同一個框架上,去發展各自的法規體系。

APEC在2011年正式實施CBPR之後,已有不少國家陸續獲得認可成為會員,至今除了臺灣之外,還有美國、墨西哥、加拿大、日本、韓國、新加坡、澳洲、菲律賓等8個會員國家。臺灣則是在2018年加入CBPR,由APEC審查國內的隱私執法機關與個資保護體制,獲准加入。

成為會員後,臺灣指定資策會申請作為CBPR認證的當責機構,於2019年向APEC遞件申請,直到今年6月終於獲得APEC許可,成為繼美國、日本、新加坡、南韓之後,第5個擁有當責機構的APEC會員。

資策會將扮演CBPR認證與推廣角色,提升國內產業個資法遵環境

「歷經千辛萬苦,好不容易才獲得APEC認可,」林冠宇感嘆,當責機構的角色,就是要協助國內企業接軌國際經貿發展,由於臺灣本身面臨複雜的國際情勢與壓力,這份許可得來不易,申請過程中屢遭阻礙。

臺灣有好幾家個資保護規範認證機構,資策會是其中之一,也長期提供臺灣個資保護與管理制度(TPIPAS)認證服務,也因此成為政府指定的CBPR臺灣當責機構,扮演國家指定大考中心的角色,負責執行CBPR驗證作業。

除了驗證作業,資策會也會透過推廣活動,「讓大家理解CBPR實際的內容、如何實作,讓國內企業慢慢整備,來達到國際的水平。」 林冠宇表示,逐步改進並提升整體產業的個資法遵環境,也是當責機構的使命。

不過, 林冠宇表示:「我們不能球員兼裁判,資策會負責CBPR驗證,輔導還是要交由其他機構來進行。」所以,資策會對企業進行評CBPR評估,了解企業當前相關制度建立的完備程度之後,會轉介給其他專業輔導機構來協助建置符合CBPR的法遵環境。

國內企業取得CBPR驗證後,林冠宇指出,企業個資法遵制度將逐漸接軌國際水平,進而提高跨國消費者的信賴程度,來經營國際市場。國際上也已經有不少自願取得CBPR認證的跨國企業,例如Apple、Cisco、GE、HP、IBM、Mastercard等。

未來,隨著更多臺灣企業提升個資保護水準,也有助於臺灣的隱私保護形象,促進跨境數位貿易發展與合作,更能吸引外資投入國內產業。

個資法遵觀念釐清:法規不是限制,本意要促進資料流通

不過,推動企業建立個資保護制度,並不是件容易的事。林冠宇指出,最大問題是多數企業對個資保護制度有所誤解,「企業常說,個資保護法規限制了產業發展,其實,無論GDPR或CBPR的願景,都是要透過建立合規信賴的資料運用環境,來促進資料流通與利用。」

林冠宇解釋,要建立一個資料真正自由流通的環境,前提是要取得消費者的信賴,若長期未經使用者同意,將資料用於商業應用或販售,久而久之,使用者就不願意再共享資料,難以形成正向資料利用的循環。所以,企業提供免費服務換取他人個資時,除了要尊重使用者共享資料的意願,也必須展現資料管理的能力,「尤其在數位轉型、數位經濟發展之下,個資管理能力更加重要。」

建立個資管理制度後,對企業來說,也能進一步了解蒐集的資料類別、可利用的形式,來建立新的商業模式、創新產品或服務。同時,企業也能回過頭來檢視不同資料的重要程度,區分出哪些資料具有更大的商業價值,哪些資料不必要搜集,遵循「最小限度原則」來搜集、處理與利用個資。

「隨著大數據、AI的發展,相較之下,國外企業更願意持正面態度來看待個資保護機制,透過合規的方式取得消費者資料。」林冠宇表示,臺灣企業需改變對個資法遵的態度,不應再把法規視為限制,應作為促進資料利用、商業創新的一種方法。

相較於國外企業對個資管理的重視,林冠宇認為,臺灣企業更強調資訊安全。但以國外企業的角度來看,資安只是用來保護資料的其中一環,比資安防護更重要的,是健全的資料保護與管理制度。

因此,他提醒,除了建立資安防護機制,企業更要建立完善的個資保護與管理作法,並視之為風險管控的一環。若未來資料真的不慎外洩,才能透過標準SOP來進行危機處理,由不同部門分工,將漏洞補強、通知受影響的用戶,並檢討資料外洩的原因,回頭改進原本的管理制度,「有良好的管理制度,才知道該如何因應問題。」

企業邁向個資法遵建立之路,普遍仍有兩大痛點需克服

從過去推廣TPIPAS的經驗,林冠宇也點出,企業建置個資保護管理制度有兩大共通性問題。第一,很多企業搜集顧客資料多年,甚至早在個資法實施之前,有些資料很可能不是透過合規的方式取得,在個資法實施後,舊資料的利用成為一大問題。

面對這個問題,林冠宇認為,最好的方法是建立合規的資料蒐集與使用制度,只要建立起相關機制,未來該消費者回頭消費時,就有機會重新取得對方的同意,提升合規資料的占比。

但林冠宇發現,許多企業先想到的不是建立合規取得資料的制度,而是選擇將舊資料去識別化,就把這些資料投入使用,遊走在資料利用的灰色地帶。先不探討資料去識別化是否就完全不會被識別或還原,更大問題在於,企業若沒有對法遵抱持正向態度,採取得過且過的心態,累積的不合規資料只會越來越多,未來要踏出個資管理的第一步,就會更困難,也需要花更多時間與成本整理舊有資料。

「與其這樣,不如在當下就趕快做好法遵,至少之後的資料是合法的。」林冠宇呼籲,企業要及早開始審視內部的個資管理策略,拖越久才開始,面臨的阻力只會更大。

另一個問題,則是企業經營決策者沒有意識到資料保護的重要性,相較於能帶來實際營利的服務或產品,個資法遵制度短期無法看成效,更難以帶來實際收益。

林冠宇指出,就算企業認知到這件事,也可能因臺灣個資法裁罰金額過低,導致企業將裁罰金額當成固定成本,而不願意花更多力氣建置,企業容易因此裹足不前。

從企業組織上的設計,也能看出臺灣企業較不重視企業內資料治理面向的議題。林冠宇舉例,如歐美國家部分企業除了設置資訊長、資安長職位,也有更多企業開始設置資料保護長(Data Protection Officer,DPO),以DPO的高度來帶動企業思考,如何在企業內部利用資料,這在臺灣非常少見。

從臺灣企業面對的問題,林冠宇呼籲,尚未建立個資管理制度的企業,別再猶豫不決,要盡快跨出第一步,才能讓手上合規的資料越來越多。而對取得認證的企業,他提醒,還是要持續精進內部機制,定期認證,而非取得了一次認證就一勞永逸。


熱門新聞

Advertisement