勤业众信风险管理咨询顾问副总经理 林彦良 (摄影/洪政伟)
对于已经在今年5月25日正式施行的欧盟GDPR(通用资料保护规则),有许多台湾企业最伤脑筋的就是,到底是否适用欧盟GDPR的规范呢?毕竟,这个远在欧洲制定的法规,在目前的地球村时代之下,某些区域性的法规要求,其实已经可以影响全球市场与企业和民众。
针对欧盟提供服务的业者,都适用GDPR的规范但实际上,要判断到底是否必须遵守GDPR,往往必须要从业务情境深入探讨,才能够确认,很难从单一的情境去辨别某些公司是否适用GDPR。重点在于,该公司组织到底有没有在欧盟境内提供服务,而目前判断的基准,可根据是否使用欧盟的货币与文字来证明。
以往,针对各种法遵议题的实践,许多企业组织内,很多就会从法务部门着手,但有些提供资讯服务的公司,则由资讯部门承担。事实上,法遵议题的遵守范围非常广泛,从法务、风险管理、IT或者是第一线业务部门、客服部门,都有可能牵涉到相关的业务流程,但到底该由谁作为法规遵循的代表呢?
目前常见的作法,就是以法务部门为首,另外,就是由资讯部门来领头,不过,就实务状况而言,不论是教导法务人员了解IT,或者让IT人员懂法律,难度都很高。
这时,管理顾问公司可以扮演桥梁的角色,把法遵的要求,转化成资讯部门听得懂的程式开发和系统需求,同时,也将资讯部门的语言,转化成法务部门在落实法遵时可以实作的作为,由他们来协助双方了解彼此,扮演两造翻译官的角色。
即便GDPR已经正式实施,但它仍是一个持续变动中的法规,所以,之前的工作群组(Working△Party)也更名成为欧盟资料保护委员会(the△European△Data△Protection△Board,EDPB)。另外,像是英国的个资隐私主管机关(ICO)也都持续针对GDPR的法规演进,提供企业各种需要关注关联法规,以及调整隐私保护策略与管理机制的建议。而关于这样的法规遵循和演进的过程,则是需要通过长久运作,更需要内化成为企业的业务流程。
至于谁才适用GDPR?虽然先前在GDPR的官网,已经正式提出回答,但事实上,即便在欧盟当地的律师,对于法律的解释,还是有两派的说法,到底是服务提供者,还是只要有搜集欧洲民众个资的企业组织,都必须适用GDPR的规范呢?
就法条而言,GDPR保护对象都采用资料当事人(Data△Subject)一词,而不是公民或居民等字句,因为GDPR将个资保护的范围,扩大为欧盟境内资料当事人为主。
但其他的争议点在于,如果这些欧盟的资料当事人因为差旅到境外活动时,该如何判断这个提供服务的组织,是否要受GDPR规范呢?
这就要看,企业如果是欧盟境外的服务提供者,而且是针对欧盟以外的客户提供服务,让其客户到欧盟旅行时可以使用其服务,在如此的状况下,只要这家公司没有针对欧盟个资当事人提供服务,就不受GDPR法遵的约束。
也就是说,只要是针对欧盟境内的个资当事人提供服务,就会受到GDPR规范;但如果没有在欧盟境内针对个资当事人提供服务,即便这些人进到欧盟境内,也不受GDPR的规范。
因为针对同一个情境,各派律师的解读还是不同,GDPR的复杂度来自于对于情境拆解、当事人资料,以及资料控制者、处理者角色不同,会有不同的权利义务要遵守,这也是GDPR之所以复杂难解的关键所在。
合约是所有法遵的基础,台湾高科技业者即为一例对企业和组织而言,要如何界定资料保护的范围呢?必须要从资料流程(Data△Mapping)和资料清单(Data△Inventory)下手,另外,比较容易忽略、且会为企业带来风险的部份,就是“合约”。
台湾有许多企业在欧盟当地设有经销代理商,不同的法人代表,是否可以通过签订合约的方式,让相关的个人资料从欧盟跨境传输到台湾?
事实上,审视合约是一件非常繁杂且压力很大的工作,就有真实案例显示这样的挑战,例如,有的企业一年要签订大约4千到5千份合约,为了要做GDPR的法遵,必须重新检视这数千份合约的规定。
另外,许多台湾高科技制造业者近来积极因应GDPR,往往都是来自于客户必须符合GDPR的规范,基于合约的要求,连带要求台湾的这些高科技制造业者,也必须同步符合GDPR规范。
在七月初,欧盟消费者保护机构(BEUC)也提出一份GDPR报告,就直接点名有某些组织在隐私保护的作法上,还是有问题。例如,GDPR要求个资使用必须透明化,但这些组织并没有明确告知使用者,对于他们的个资会提供给哪些第三方单位使用;或者是,个资处理并没有遵循GDPR的要求,单纯使用该企业网站,就认定该使用者已经同意该公司的隐私保护政策;甚至是,隐私权政策内容使用了模糊不清的语言来陈述,让使用者无法了解实际政策内容,难以了解使用者个资是如何在实务上受到使用等。
另外,像是资安业者TrustArc则提出一份报告,当中表示有七成企业,要到2018年底,才会完成因应GDPR的准备工作;而Google也于日前和几个网络服务业者合作,提出使用者资料可携的专案,并且不断更新调整。
基于产业和监管机关的角度,建立一套合规的行为守则关于法规遵循,其实可以从生态系的概念来检视,涉及的层面,主要有立法机构、受约束对象、受保护客体、监管对象等等,但要知道GDPR这个法要保护的对象是谁?怎么做到?如何实施落实?就需要集合各种专家,包括律师、产业专家、资讯专家等等,也会成立所谓工作小组(Working△Party),集思广益,共同找出可以让企业组织遵循的方法,毕竟,无法监管的法律,等于是没有用的法。
值得注意的是,GDPR这类的隐私保护或者是网络安全法案,也已经形成一种非关税的贸易壁垒,因此,对于欧洲云端服务业者而言,就自行建置关于云服务应该遵循的准则,希望借此打造符合GDPR控管要求的EU△Cloud△Code△of△Conduct(欧盟云端行为守则)。
目前,EU△Cloud△CoC对于GDPR这套法案的内容做出解释,依照行业特性做出共识作法,订出行为守则(Code△of△Conduct,CoC)这是一个过程,因为由民间受约束对象直接与监管单位进行沟通,取得平衡,因此,EU△Cloud△CoC的发展一直受到瞩目。
过去企业多数以ISO△27001资安认证为主,在云端服务业者相关的认证,则是ISO△27017和ISO△27018,包括要如何取得当事人同意等,在规范中都有详细说明,并且有独立机构去查核。而现在这种CoC的作法,比较像是针对某各产业,量身打造的产业适用标准,类似的作法,在欧洲当地也都行之有年。
其他像是日本于今年7月17日,已经取得和欧盟对等的认可,认定彼此的法规都具有足够的保护;其他像是中国推出《个人信息保护法》,美国有《Cloud△Ac△t》,还有美国2020预计实施的《CCPA》(美国加州消费者隐私法案),未来都是值得重视的法遵议题,对台湾产业都有影响,尤其台湾有很多科技业都在美国加州落脚。
在企业营运管理上,过去传统企业在意所谓的劳安、工安等议题,但在虚拟世界谈的议题则都是资料保护、隐私保护等,而相关的法遵议题,往往也会造成外商进去当地市场的门槛,并带来经营上的挑战,形成所谓的贸易壁垒,但这已经是避免不了的趋势。
欧盟通过GDPR在构筑全球的贸易壁垒,其他国家也都一样,因此,对于各个国家和企业而言,都必须要有一个组织,去因应相关的议题。
在5月25日之后,许多国家的个资主管机关也都打造了一个“隐私外泄事件通报程序”,像是法国、荷兰和德国,都打造一个相关的通报平台,其他像是英国、奥地利、意大利和卢森堡,则可以通过电子表单或电子邮件的方式进行通报。
?
图片来源/勤业众信
在5月25日之后,许多国家个资主管机关都打造了一个“隐私外泄事件通报程序”,像是法国、荷兰和德国,都打造一个相关的通报平台,其他像是英国、奥地利、意大利和卢森堡,则可以通过电子表单或电子邮件的方式进行通报。?
隐私冲击分析和PbD是因应GDPR最重要的两个框架要拆解隐私资料处理活动的控管机制,必须从人员、流程和技术等三个面向进行拆解。
在“人”的部份,必须知道“外部”收资料的对象是谁?会取得什么样子的资料?资料会提供给谁?“内部”使用的人是谁?那些人可以存取等。
而在“流程”的部份,是否涉及高风险项目需要执行DPIA(隐私保护冲击分析)?是否包含个资法定告知项目?是否具有当事人权力行使流程?以及内部流程是否定义清楚,确认个资的流向等。
至于“技术”部份,则着重在下列几项,例如:收集来的资料如何保管?使用哪种机制去分析、应用及处理相关个资?相关的个资保护措施有哪些等。
而在流程的因应上,GDPR还有两大框架必须注意,第一个就是DPIA(隐私保护冲击分析),第二个就是PbD,这又有两者解释意涵,一种是隐私保护设计(Privacy△by△Design),另外一种则是隐私保护预设(Privacy△by△Default)。
在进行隐私保护冲击分析时,第一步就要判断是否需要执行DPIA;再者,就是要确定DPIA执行评估内容,找出影响隐私保护的关键因素后,厘清资料敏感度等级,确认隐私保护控管水准,并且在业务场景中,判断潜在威胁事件的影响。而所有的隐私保护冲击分析,都必须在处理相关隐私资料之前,就必须事先完成的作为。
而这样的DPO应该要有一个团队来进行合作,包括法务专家与IT专家,也可以组成一个隐私执行中心(Privacy△Operation△Center)。
但重点是,这个DPO虽是监管延伸,但必须真正了解这个产业,才能做出好的判断;也必须有能力和当地监管单位沟通才行。而根据勤业众信的统计,在GDPR之后,预计将增加三万个隐私保护和资安相关工作机会。
除了DPIA,假若遇到个资外泄事件时,GDPR也做出规定,要求必须在72小时内通报主管机关,参与者为企业内的紧急应变小组和DPO(资料保护长),负责发现和接收隐私资料外泄事件,而相关的隐私保护推行小组,则必须要汇总和确认事件发生的原因并排除,也必须做出相关的影响分析。
至于,PbD的部份,很多人认为是针对IT,但有越来越多家企业,从本质上来看,全公司都是IT,这么一来,该如何在内部做到PbD评估?
事实上,由前端资料取得的生命周期开始,就必须要落实隐私保护冲击分析及PbD。千万不要把PbD当成IT议题,整个流程从告知与征求使用者同意上,都需要业务端协助确认,所以,必须考量内部怎么做横向沟通。林彦良建议,可以成立虚拟组织或单位,负责进行PbD横向沟通的工作。
企业可以选择签署SCC或BCR,解决个资跨境传输问题要落实隐私保护制度必须要有一个实施的全貌,从合规要求到持续维运,是一条不间断的漫长旅程。
因此,刚开始就必须先实施资料盘点、合约盘点,然后进行差异分析,在完成相关的风险处置之后,须描绘合规蓝图,并且要能落地运行,后续还必须做到持续维运。
以目前来看,设计制度是相对不重要的过程,要能够知道现况、架构后,才有办法实施制度,且整个对个资隐私的重视程度,都应该要被内化到企业内每一个业务流程,才是比较实际的作法,因为,内化永远是最难的部分,目前看来,高科技业运作的空间比较大,而金融业已经是高度监管的行业,内化程度相对较高。
而关于GDPR实施后的关键策略,则是必须将隐私保护的外在用户体验与管理意识,予以内化。在外在的用户体验上,包括:资料处理与合法性、儿童资料处理、跨境传输、隐私声明与同意、当事人行使权利、自动化处理OptIn及OptOut,以及外泄事件通报;而在管理意识内化上,则囊括:打造治理、资料保护长和隐私管理团队;厘清资料控制者和资料处理者权责;进行隐私冲击分析(DPIA);落实供应商安全管理;落实Pvrivacy△By△Design及Privacy△bt△Default;最后,则是进行教育训练,以及宣导。
以勤业众信本身的作法和经验为例,他们在内部启动机敏资料保护专案,包含资安资料保护和隐私保护在内,并于2017年初,采用比利时的框架来推动这些法遵工作。
同时,也将这些作业分成业务面、资料面和IT技术面,而勤业众信这个4千人的单位,已经全数取得了ISO△27001认证,算是很大规模的认证单位。而勤业众信也规定,如果会员所没有通过相关资安验证,就无法跨国接案。
以欧盟云端服务业者推动的CoC作法,是从立法者、监管者、受监管者和受保护者等面向来检视,大家一起开诚布公来沟通,而且,有许多产业也希望,可以通过一个CoC框架,与监管单位沟通。但这个部分与是否合规,其实是两件事情。
是否取得各种资安隐私保护的标章,并不重要,因为,关键在于,要把精神落实到企业内部的每一个作业流程和企业文化,以及有没有团队可以处理个资隐私保护议题,以及能否和监管沟通等,才是要紧的部份。
整体而言,GDPR其实并不是禁止个资往外传送,而是要符合其个资保护要求后,才能往外传,例如,可以传送到白名单国家,若是例外状况,也可以签署SCC或者是BCR架构。前者类似定型化契约,一个字都不能改,是附属在合约上,也是解决跨境资料传输比较快的方式,不过,很多公司并没有意识到,自己以前采用的合约,其实都已经签署过SCC合约了。
此外,要因应GDPR,必须要先弄清楚自己是资料控制者或资料处理者的角色,两者责任差异已经不大,只不过,现有SCC条约并没有境外控制者的角色,只有针对境内控制者将资料传给境外处理者,或是境内控制者传给境外控制者等状况。至于跨国企业,则以签署BCR为主,而在全球和台湾,已经有很多金融机构拿到相关的BCR了。
?
?专家小档案 勤业众信风险管理咨询顾问副总经理 林彦良???简介?
于2007年加入勤业众信,具有十年以上的科技风险相关工作经验,熟悉高科技业、制造业、金融业等业务作业流程,拥有丰富的大型集团企业资讯安全咨询经验。目前担任勤业众信风险咨询服务部门副总经理,专注于营业秘密保护、研发资料保护、金融科技新兴风险管理、资讯安全管理、网络安全评估、隐私保护、海外资安法规咨询、企业资安架构设计等企业资安风险议题。
?
?专业能力?
● 新兴科技风险评估
● 营业秘密保护/研发资料保护风险评估与控制设计
● 隐私保护/隐私合规咨询
● 资讯安全/网络安全风险评估
● 海外资安合规咨询
● 资讯安全/资料保护解决方案建置
?
?视频连结??iThome大话资安直播视频:GDPR后的隐私保护趋势
I 相关 / Other
加州理工学院如何打造未来AI机器人?AWS首席科学家揭露关键策略是这句话
图片来源: 摄影/王宏仁 加州理工学院(Caltech)正在设计未来AI机器人的原型,由该校自动化系统与科技中心(Center△for△Autonomous△Systems△and△Technologies, CAST),设定了5个射月目标,要打造5种不同类型的
Firefox Focus浏览隐私保护更上一层楼,开始支援Face ID及Touch ID解锁
图片来源: Mozilla 在2015年时,Mozilla推出强调使用者隐私保护的浏览器Firefox△Focus,功能较轻巧简单,初期主打功能为拉黑广告追踪,并允许使用者删除网页浏览的足迹。而在近日Mozilla更新了该浏览器功能,除让iO
AWS云端架构策略副总裁:飙速开发又有新方向,Serverless是容器和微服务的下一步
图片来源: 资料来源:Adrian△Cockcroft,iThome整理,2018年7月 早在2015年冬天AWS年度大会一场演讲中,AWS云端架构策略副总裁Adrian△Cockcroft就预言,Serverless将是下一阶段的云端架构方向。当时,Docker崛起才
【深度专访AWS云端架构策略副总裁】冲刺数位转型,企业需要什么IT新架构?
Adrian△Cockcroft有云端第一架构师的美称,也曾入选云端运算年度十大关键人物。 (摄影/洪政伟) 他是打造Netflix全球服务架构的关键人物。早在2009年,当时担任Netflix网站工程总监的Adrian△Cockcroft,就开始
来源:石家庄日报文:王国良自从香港艺术品2018年春拍首轮拍卖落幕之后,中国艺术品市场终于在沉寂了一个多月之后,迎来了新的生机。近日,广州华艺国际春拍和北京匡时迎春拍卖会相继举行,数千件艺术品有了新的价值