臺灣勤業(yè)眾信風險諮詢管理公司協(xié)理林彥良表示,因應GDPR是一場持久戰(zhàn),企業(yè)可以從識別利害關系人到打造隱私管理架構,進一步做到持續(xù)性落實與監(jiān)督,達到資料保護的目標。(圖片來源/臺灣勤業(yè)眾信)
距離在5月25日剩下不到三個月,歐盟通用資料保護規(guī)則(GDPR)就要正式實施,全球企業(yè)其實都會直接或間接受到GDPR的影響,臺灣勤業(yè)眾信風險管理諮詢公司總經(jīng)理萬幼筠表示,若從法律層面的屬人主義或?qū)俚刂髁x來看,光是涵蓋或影響的國家就超過190個;該法也沖擊歐洲、美國和亞洲等三大區(qū)域,對於資料保護協(xié)定的內(nèi)容條文規(guī)定;更應運出超過80個以上的新條文規(guī)范。
距離在5月25日剩下不到三個月,歐盟通用資料保護規(guī)則(GDPR)就要正式實施,全球企業(yè)其實都會直接或間接受到GDPR的影響,臺灣勤業(yè)眾信風險管理諮詢公司總經(jīng)理萬幼筠表示,若從法律層面的屬人主義或?qū)俚刂髁x來看,光是涵蓋或影響的國家就超過190個;該法也沖擊歐洲、美國和亞洲等三大區(qū)域,對於資料保護協(xié)定的內(nèi)容條文規(guī)定;更應運出超過80個以上的新條文規(guī)范。
他認為,GDPR不僅會成為潛在的國際資料安全保護的基準線(Baseline),隨著全球化、往來無國界的趨勢,臺灣企業(yè)想要跟歐盟做生意,如果不能符合GDPR對於歐盟公民個資保護的相關規(guī)范,GDPR就會成為企業(yè)進軍歐盟市場最關鍵的貿(mào)易壁壘。
因此,臺灣企業(yè)為了要了解自家企業(yè)是否受到GDPR的規(guī)范外,就得要進一步了解,企業(yè)在執(zhí)行GDPR個人資料保護的過程中,在因應這些新的法規(guī)遵循要求時,究竟會對企業(yè)帶來什麼樣的沖擊。因此,萬幼筠建議,臺灣要評估是否受到GDPR影響的企業(yè),都應該優(yōu)先執(zhí)行隱私保護沖擊分析(Data Protection Impact Assessment,DPIA),以及風險評估(Risk Assessment,RA)。
先做隱私保護沖擊分析和風險評估
臺灣勤業(yè)眾信風險管理諮詢公司協(xié)理林彥良指出,企業(yè)執(zhí)行隱私保護沖擊分析是一種義務,重點在於要考慮管理個資隱私資料的生命周期,必須專注於保護隱私資料的準確性、保密性、完整性、實際安全性及刪除的控制項目。
至於什麼時候是執(zhí)行隱私保護沖擊分析與風險評估的好時機?他認為,只要是在隱私資料處理程序開始之前,或者是涉及自由及權利的高風險隱私資料的處理程序時,都是適當?shù)膱?zhí)行時機。
林彥良也綜合相關法規(guī)要求表示,在5月25日之前,針對隱私應用流程,有三種情況一定要做隱私保護沖擊分析與風險評估,包括:發(fā)現(xiàn)應用流程有顯著變動,或者是組織或社會條件發(fā)生變動,以及至少每三年要針對流程做一次定期檢查。
至於執(zhí)行的范圍,林彥良表示,GDPR條文中有規(guī)定,針對資料剖析、特殊類別數(shù)據(jù)的應用,以及大規(guī)模公開系統(tǒng)監(jiān)測等,都強制要進行隱私保護沖擊分析與風險評估;其他根據(jù)WP 248原則規(guī)定,執(zhí)行的范圍則包括:資料評估或評價(包含資料剖析及預測)、法規(guī)自動化決策或相關影響的作業(yè)、系統(tǒng)監(jiān)測、敏感數(shù)據(jù)、大規(guī)模的資料處理、經(jīng)比對或合并的資料組、群體的隱私數(shù)據(jù)應用、企業(yè)導入創(chuàng)新應用解決方案、數(shù)據(jù)跨境(離開歐盟),以及避免資料當事人執(zhí)行其權利或服務及合約等,總共有10點。基本上,只要符合上面任兩點,就必須進行隱私保護沖擊分析和風險評估;如果檢視之後的結論并非是高風險項目,則需將完整的原因,予以檔案化記錄、留存。
當然,在執(zhí)行范圍的部分,GDPR也會有例外情境,要求企業(yè)須執(zhí)行DPIA,像是使用新科技處理資料的方式,雖然是非高風險流程,也必須做DPIA;但如果是該流程應用已經(jīng)是法規(guī)要求的非高風險流程,主要是基於法令法規(guī)的基準,且該法令法規(guī)已經(jīng)明確定義應用流程的執(zhí)行方式時,或者是和已經(jīng)完成DPIA流程相似的流程,都可以直接使用先前DPIA的執(zhí)行結果。
林彥良表示,如果這個要做隱私保護沖擊分析的流程,已經(jīng)是監(jiān)理機關建立并對外公布的不需要再做分析清單類別,企業(yè)就可以不需要再做隱私評估;假使這個名單內(nèi)容是符合GDPR WP的規(guī)范時,仍必須符合相關的管控措施。
另外,林彥良表示,其他更細的法規(guī),也要求針對下列面向做出評估,分別是:提供應用流程的系統(tǒng)描述、必要性和比例性、當事人權利自由風險,以及利害團體參與等4個層面,并確保相對應的措施,可以達到相稱性和必要性,并保障當事人權益。
至於進行DPIA的評估流程,從輸入項目開始,針對應用流程和系統(tǒng)控管做評估,得出風險值後,也要徵詢資料保護官(Data Protection Officer,DPO)和利害關系團體的意見;而利害關系團體在一般企業(yè)中,通常都會包括:應用開發(fā)團隊、IT維運團隊、采購團隊、潛在供應商、數(shù)據(jù)控制者、法律遵循團隊、統(tǒng)計分析團隊,以及高階主管團隊等在內(nèi)。
林彥良強調(diào),經(jīng)過DPIA的評估流程,企業(yè)往往可以得出兩種結論。首先,如果是流程風險已經(jīng)被識別,而且已經(jīng)消弭高風險事項時,企業(yè)任命的資料保護官就必須留取相關的評估記錄;但如果相關流程風險無法消弭,且剩余風險過高的情況下,就必須要事先與監(jiān)管機關進行諮詢,確保後續(xù)的流程應該如何進行,才不會有違法之虞。
系統(tǒng)流程需內(nèi)建Privacy By Design,才能在資訊采集的第一步就做到隱私保護
但是,萬幼筠也特別提醒,對於已經(jīng)做好隱私保護沖擊分析企業(yè)的IT部門而言,因應GDPR時,具有五大優(yōu)點,包括:一、可以提供最終檢查,在系統(tǒng)上線前,可以解決關鍵的隱私問題,并有余裕處理其他重大問題;二、也可以警惕專案經(jīng)理和企業(yè)贊助商正視隱私問題;三、可以對IT專業(yè)人員實施教育訓練,確保在所有系統(tǒng)開發(fā)過程中,認知隱私是重要的議題;四、維護和盤點組織內(nèi)的資料處理活動;五、可嚴格按照GDPR對高風險流程,進行隱私保護沖擊分析的要求。
但他也說,企業(yè)的IT部門還是會非常擔心,認為只做隱私保護沖擊分析對組織而言是不夠的。例如,在完成隱私保護沖擊分析的任務之前,有許多關鍵系統(tǒng)設計和實施問題已經(jīng)存在并發(fā)生;許多做出重大隱私影響決定的人,并沒有參與隱私保護沖擊分析的過程;在做DPIA的過程中,只會列出主要的缺失,其他的缺失往往會先暫時忽略。
因此,要克服企業(yè)IT部門只做隱私保護沖擊分析的缺點,萬幼筠認為,Privacy By Design(預設隱私設計)才是真正解決企業(yè)隱私風險的根因。他進一步解釋,Privacy By Design的特色就是,提供完整的生命周期保護,做到點到點的安全,在采集資訊的第一步之前,就已經(jīng)嵌入到系統(tǒng)之中,并貫穿整個資料生命周期。
他表示,這是一種主動積極的措施,為了要預測并防止外泄隱私事件,是一種事前的防御,并不是事後的處理。當個資透過預設隱私設計的方式,在任何IT系統(tǒng)或業(yè)務流程中,都可以自動受動保護并提供最大程度的隱私,也可以將隱私嵌入到IT系統(tǒng)和業(yè)務流程中,作為系統(tǒng)交付的核心功能,而非附加功能。
因為Privacy By Design具有足夠的可見性和透明度,也可以向所有利害關系人保證,無論涉及何種業(yè)務流程或技術,都可以依照原本提出的承諾和目標進行;同時,也因為是以使用者為中心、尊重使用者隱私,所以,便會需要建構人員與營運人員通過提供強力的Privacy By Design方式,藉由適當?shù)耐ㄖ叭诵曰x項的措施來維持個人利益。萬幼筠認為,只有如此,才能以雙贏的方式,滿足所有法規(guī)遵循的利益和目標,并達到整合而非零和的目的。
