這兩年有關GDPR國內的詢問度仍然頻繁,其中最主要詢問的企業包含跨國企業性質、在歐洲地區有分公司之企業、航空、金融、旅遊業等,大家最常詢問的問題就是:「有沒有一套產品可以完全防制GDPR?」大部份詢問者以法遵的考量為居多。
個資盤點 多元化
經過一年時間,自從去年(2018)歐盟個資法GDPR(General Data Protection Regulation)正式實行,如今歐盟已獲得數十萬案件的舉報,其中違法罰緩的貢獻者,大多來自知名網路公司,例如Google、Facebook等。
我們從個人資料的保護議題來思考,話說個資存在的模式包含電子資料與紙本資料,其中紙本資料僅能採用人工方式進行相關個資盤查,因此筆者建議可委外由專業顧問團隊協助相關工作進行非電子資料的個資盤查,現今也有免費版本的「線上個資填報系統」可線上填寫個資的利用、衝擊、類別、處理與蒐集措施等,方便內部稽核與法遵單位做個資蒐集之基本依據,可參考https://pids.com.tw/pidsreport.html。
電子資料存在的個資類型,包含檔案、資料庫、圖片與特定副檔名檔案格式。檔案類型的個資盤查可以找免費版的個資盤點工具,針對檔案格式進行盤點,「個資文字的偵測」可參考免費版線上體驗工具https://pids.com.tw/pidsscan.html;資料庫中會有許多個資檔案,可依照不同資料庫的屬性進行盤查,其中包含MsSQL、MySQL、OracleDB、MariaDB等;而圖片個資比對可依照圖片的相似度進行比對,若特徵圖片為身分證圖檔,比對圖片和特徵圖片相似度極高,因此比對圖片也極有可能是身分證圖檔,目前已有廠商開發完成圖檔個資比對的功能,並且申請相關專利保護。
「先合法後防範」
2019年資安法實行後,針對不同的資通安全等級進行分級,並且摘要各等級之資通安全處理措施,當中包含應辦事項、事件通報、應變辦法、維護計畫、稽核辦法、情資分享、獎懲辦法等相關規定,資安法實行後,各公務與非特定公務機關皆有相對應可執行之準則,這些資安法規除了落實在公務與非公務單位外,也同時提高了承攬該機關委外服務廠商的資安服務品質,廠商同時也需符合資通安全管理法以及個資法等相關法規,除此之外,資安法與個資法皆有罰鍰的產生,因此對於相關公務機關有必要性的要求力道。
如今,資安大挑戰仍焦點在政府法規的遵循、AI與IOT等相關資安整合產業,企業與公務機關首要條件為「先合法後防範」,因此在資通安全管理法、個資法與營業秘密法的遵循上為必要條件,後續再配合相關措施進行預防性資安事件,包含資安事件蒐集、資安事件整合、資安事件通報與資安事件彙整等相關工作。國家的資通安全,需要全國各機關相互配合建構一套完整的資安事件通報系統,同時主管機關除了定期進行稽核審查外,我們也期許以身作則,協助轄下所屬機關來面對法規遵循與資安防護網之建置。
作者目前任職於鈊保資訊有限公司/個資顧問