https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

[專訪]GDPR實施在即 TCIC(環奧國際驗證公司)籲企業正視

2018 / 05 / 22
編輯部
[專訪]GDPR實施在即  TCIC(環奧國際驗證公司)籲企業正視

過去幾年,在駭客攻擊手法日益進步下,全球各地紛紛傳出大量資料被竊取的資安事件,如Yahoo承認2013 年因遭駭客入侵有30億用戶帳號被竊取,Instagram亦因遭到駭客入侵導,受害用戶多達600萬,而Uber也爆發被駭客竊取5700萬筆乘客與駕駛個資,讓民眾權益受到相當大的侵害。前述種種事件,凸顯出各國既有個人資料保護法,仍然不足以迫使企業投注更多精力在保護手邊客戶資料的安全上。

為此,向來注重人權的歐盟,早在 2016 年 4 月立法通過一般資料保護規定 (General Data Protection Regulation,簡稱 GDPR) ,取代自 1995 年開始推行的現有歐盟資料保護指令 (Directive 95/46/EC)。該法規,基本上是關於保護及實現個人的隱私權,鑑於部分組織必須進行大幅變更才能符合規定,歐盟納入了兩年的過渡期,因此將在 2018 年 5 月 25 日生效,也讓全球企業感到非常緊張。

TCIC全球營運總經理梁日誠說,GDPR應該是目前全球最嚴格的隱私權保護要求,嚴格控管企業管理及保護個人資料的方式,尤其強調無論資料傳送到哪裡、在哪裡處理或儲存在何處,都必須尊重當事人(Data Subject)的決定。 只要是為歐盟 (EU)自然人提供商品和服務或是蒐集並分析歐盟境內自然人相關行為資料的公司、政府機構、非營利機構和其他組織,均需得符合該法令的規範,一旦違反法令規範,最高可罰2000萬歐元或年度全球總營業額4%,台灣企業絕對不可不慎重。

圖一、GDPR適用對象的識別

  由於現今距離該法規實施日期剩下不到2個月,而歐盟是台灣第5大貿易夥伴、台灣則為歐盟第18大貿易夥伴,若不及早因應恐怕將台灣企業帶來極大的影響。梁日誠以其受邀擔任加拿大GDPR諮詢委員會委員的親身經驗,建議台灣應該要參考美國、加拿大等國家,透過設立專責組織協助企業正確面對GDPR,並與歐盟協商爭取成為安全保護足夠的第三國,才能讓台灣企業降低因GDPR而帶來的營運風險。GDPR雖然嚴格,但可由GDPR鼓勵進行認驗證制度(包含驗證及行為準則與監督)的作法得知展現合規性的實務方法,企業可以據以準備。


圖二:GDPR行為準則的認證體制關係圖 Article 40及41


圖三:GDPR驗證的認驗證體制關係圖 Article 42及43


檢視公司機敏資料 制定因應計畫

根據歐盟組織公布的資訊,GDPR 是根據個人資料的處理和使用過程必須透明、個人資料的處理限制在特定與正當的目的、個人資料的蒐集和儲存限制在預定目的、個人能夠更正或要求刪除其個人資料、將個人識別資料的儲存限制為僅基於預定目的且有必要時才儲存、確保個人資料有使用適當的安全性做法加以保護等6大原則所制定。

舉例而言,當事人有權知悉組織是否正在處理其個人資料,而且有權了解該組織處理的目的為何。 此外,當事人亦有權刪除或更正其資料、要求不再處理資料、反對直接行銷,以及針對其資料的特定目的,撤銷原本的同意權。另外,若發生資料外洩的事件,資料控制者需在 72 小時內通知適當的主管機關,且當外洩情形可能會導致當事人的權利和自由,組織也必須通知受影響的當事人。

梁日誠指出,企業若要管理個資風險與GDPR對公司的影響,應該要先引進DPIA(Data Protection Impact Assessment,資料保護衝擊評鑑),此舉主要是要辨識業務流程中,有哪些涉及個人隱私權利的風險,才能進行後續衡量、管理和因應。

  企業應採用國際標準 以助避免營運風險

值得留意,截至目前為歐盟並沒有任何認證機構,針對GDPR驗證機構進行認證,所以市面上顧問公司都僅能從GDPR條文中,協助企業確認是否符合規範,但並無法百分百確認能夠符合歐盟要求。面對GDPR帶來的衝擊,TCIC建議企業應該還是要從引進ISO 27001資訊安全管裡、ISO 29134隱私衝擊評鑑、ISO 29151個資保護控制措施、ISO27018雲個資保護控制措施等國際標準著手,先由隱私管理系統(PIMS)能夠符合國際標準,搭配推動DPIA,即可將該法規帶來的衝擊降至最低。其中ISO29151與ISO27018能展現對GDPR的Data Protection by Design要求的合規性,也是目前的PIMS的ISO驗證標準,ISO29134則是歐盟認可的DPIA方法,直接展現企業符合GDPR要求。


圖四:與GDPR相關的ISMS與PIMS標準

梁日誠表示,有部分企業甚至顧問公司誤以為若通過英國國家標準的個資驗證證,即可符合GDRP規範,其實這部份存在很大爭議。首先,EU並未認可英國國家標準在GDPR認驗證體制中的適用性。其次,EU公告的文件指出英國即將在2019年3月脫歐而成為第三國,其地位與美國、加拿大、台灣等相同,EU接受第三國的國家標準的機率極低,屆時英國反而得遵循GDPR各項要求且採用歐盟認可的驗證標準並尋求歐盟國家內的驗證機構取得驗證,來展現對GDPR的符合性,也代表採用英國國家標準存在極大風險。因此,我們建議企業應以ISO國際標準為依歸,TCIC並已於今年三月去函經濟部標準檢驗局建議CNS29151與CNS29134等PIMS國家標準制定相關工作,並籲請政府與歐盟協商,簡化台灣廠商符合GDPR的的流程並加速審定對應於ISO個資管理標準的CNS29134與CNS29151國家標準,消弭國人閱讀英文標準的距離。

                                                                                                                      圖片來源:環奧國際提供