觀點

[專訪]GDPR正式上路 SGS推多元服務

2018 / 06 / 25
編輯部
[專訪]GDPR正式上路 SGS推多元服務

隨著全球進入數位化時代,而多年來全球各地不斷發生個人資料被濫用的狀況,且有日益擴大的趨勢,也讓歐盟早在 2016 年 4 月立法通過一般資料保護規定 (General Data Protection Regulation,簡稱 GDPR) ,新增時下科技常用的數位個資,取代自 1995 年開始推行的現有歐盟資料保護指令 (Directive 95/46/EC)。鑑於部分組織必須進行大幅變更才能符合規定,歐盟納入給予多達2年的過渡期,即在 2018 年 5 月 25 日全面生效,適用範圍涵蓋為歐盟 (EU) 人民提供商品和服務或是蒐集並分析歐盟居民相關資料的公司、政府機構、非營利機構和其他組織。

SGS全球數位部總經理Eric Krzyzosiak說,GDPR上路之後,帶來三大不容忽視的意義,首先是由於該法規條文相當嚴峻,影響遍及所有在歐洲營運的企業與政府組織,因此將會驅動企業投資大筆資訊費用在該領域上,且投資成本將會是Y2K以來最高的。其次,在全球各國對數位資料保護意識抬頭下,GDPR因資料保護範圍周全、處罰嚴厲,可望成為其他國家的遵循標準,目前已有美國、日本表態將遵守。最終,GDPR賦予民眾主張資料所有權的權利,能向公司查詢個人資料使用的狀況,這代表企業在運用資料時必須更遵循法規。

在全球數位化浪潮中,SGS也透過成立數位部門的方式,推出市場所需的應用服務,目前專注在GDPR、資安、物聯網、區塊鏈、人工智慧、電子商務等領域,以便維持在市場上的領導地位。

SGS GDPR Online上線 協助中小企業因應法規要求
在2018年5月25日上路的GDRP,其條文明白規定企業需依照6大原則使用個人資料,假若發生資料外洩的事件,資料控制者需在 72 小時內通知適當的主管機關。若外洩情形可能會導致個人的權利和自由,組織也必須通知受影響的個人,一旦違反法令規範,最高可罰2000萬歐元(約7.2億新台幣)或年度全球總營業額4%。

Eric Krzyzosiak指出,GDPR上路之後,至少影響到230萬家歐洲企業,但根據非官方統計結果顯示,約僅有8%公司完成準備。鑑於超過99%公司都屬於人力不足、資源有限的中小企業,於是我們透過推出SGS GDPR Online服務的方式,以Awareness、Map your activity、Identify your risk、Life cycle of your Data、Apple over the time等步驟,協助用戶判斷公司是否符合GDPR的法規要求,以及取得達成法規遵循的方法。

SGS GDPR Online服務提供中小企業以支付月租費的方式,取得因應GDPR法規的各種資源,收費機制則依照公司規模,分成19、29、49等三種等級。若用戶有問題,也可以透過線上詢問方式取得SGS技術顧問的回應。目前該服務主要針對歐洲企業為主,共有6國語言版本可選擇,考量到亞洲企業對該服務的強烈需求,所以預計在年底也會推出包含繁體中文在內的多種亞洲語言。

SGS GDPR多元服務 有效保護個資安全
誠如前述,GDPR主要精神是要求企業以現有技術、執行成本,對消費者資料實施適當之技術及措施,如擬匿名化等措施,以實現資料保護原則,並將必要保護措施納入處理程序,以符合本規則之要求並保護個資當事人之權利。然而對於公司規模不大,卻有將部分數位產品銷售到歐洲市場的製造業而言,SGS又推出GDPR by Design服務,可針對特定產品或服務,透過ISO 27550標準架構進行資料流向實地查核,並輔以實驗室工具進行產品面安全測試及檢測,確保符合GDPR Privacy by Design/ Default之精神。

SGS 驗證及企業優化事業群資訊治理部門經理何星翰說,ISO 27550隱私工程六大特性,分別為機密性、 正確性、不可連結性、可用性、可介入性與透明性等等,能確保產品或服務符合GDPR要求的擬匿名化、去識別化等安全控制措施。SGS可協助輔導企業確認所提供產品或服務是否符合ISO 27550規範,確保數位產品或服務收集到的個人資料,在後續應用、保存過程中,都符合GDPR第25條之合規要求,進而維持公司在歐洲市場的業務。

另外,對沒有在歐洲經營業務,卻又想要知道公司因應GDPR法規的用戶,台灣SGS特別為台灣企業推出SGS GDPR PCA 法規遵循性查核服務。該服務是由資策會科法所依照GDPR、台灣個資法,以及產業其他組織個資管理措施,客製化GDPR法規遵循查核表,再由SGS稽核人員與資策會科法所法說專家共同執行實地查核,由法律專業人士審查查核報告,提供給企業組織參考並作為後續改善依據,有助於降低資料外洩風險,保護辛苦建立的公司商譽。

結論
為降低GDPR上路之後,各國政府都在跟歐盟洽談法規適用性的相互認證機制,以降低對該國企業的衝擊,如美國已與歐盟簽訂隱私盾協議(Privacy Shield Framework)而包含台灣、日本在內的其他國家,也正在尋求與歐盟簽訂相互認證的可能性。何星翰表示,其實台灣個資法法規具有相當程度嚴謹度,但是由於隱私權主管責任分散於各目的事業主管機關,容易給予其他國家執法一致性疑慮的刻板印象。SGS建議台灣政府應儘速比照歐盟主管機關架構而成立單一主管機關,加速與歐盟簽訂相關協議(如適足性決定),同時各產業亦需自我努力,法規已正式生效無空窗期,應積極針對個資管理流程或將隱私設計置入重要產品生命週期,讓GDPR衝擊降至最低。