台湾勤业众信风险谘询管理公司协理林彦良表示,因应GDPR是一场持久战,企业可以从识别利害关系人到打造隐私管理架构,进一步做到持续性落实与监督,达到资料保护的目标。(图片来源/台湾勤业众信)
距离在5月25日剩下不到三个月,欧盟通用资料保护规则(GDPR)就要正式实施,全球企业其实都会直接或间接受到GDPR的影响,台湾勤业众信风险管理谘询公司总经理万幼筠表示,若从法律层面的属人主义或属地主义来看,光是涵盖或影响的国家就超过190个;该法也冲击欧洲、美国和亚洲等三大区域,对於资料保护协定的内容条文规定;更应运出超过80个以上的新条文规范。
距离在5月25日剩下不到三个月,欧盟通用资料保护规则(GDPR)就要正式实施,全球企业其实都会直接或间接受到GDPR的影响,台湾勤业众信风险管理谘询公司总经理万幼筠表示,若从法律层面的属人主义或属地主义来看,光是涵盖或影响的国家就超过190个;该法也冲击欧洲、美国和亚洲等三大区域,对於资料保护协定的内容条文规定;更应运出超过80个以上的新条文规范。
他认为,GDPR不仅会成为潜在的国际资料安全保护的基准线(Baseline),随着全球化、往来无国界的趋势,台湾企业想要跟欧盟做生意,如果不能符合GDPR对於欧盟公民个资保护的相关规范,GDPR就会成为企业进军欧盟市场最关键的贸易壁垒。
因此,台湾企业为了要了解自家企业是否受到GDPR的规范外,就得要进一步了解,企业在执行GDPR个人资料保护的过程中,在因应这些新的法规遵循要求时,究竟会对企业带来什麽样的冲击。因此,万幼筠建议,台湾要评估是否受到GDPR影响的企业,都应该优先执行隐私保护冲击分析(Data Protection Impact Assessment,DPIA),以及风险评估(Risk Assessment,RA)。
先做隐私保护冲击分析和风险评估
台湾勤业众信风险管理谘询公司协理林彦良指出,企业执行隐私保护冲击分析是一种义务,重点在於要考虑管理个资隐私资料的生命周期,必须专注於保护隐私资料的准确性、保密性、完整性、实际安全性及删除的控制项目。
至於什麽时候是执行隐私保护冲击分析与风险评估的好时机?他认为,只要是在隐私资料处理程序开始之前,或者是涉及自由及权利的高风险隐私资料的处理程序时,都是适当的执行时机。
林彦良也综合相关法规要求表示,在5月25日之前,针对隐私应用流程,有三种情况一定要做隐私保护冲击分析与风险评估,包括:发现应用流程有显着变动,或者是组织或社会条件发生变动,以及至少每三年要针对流程做一次定期检查。
至於执行的范围,林彦良表示,GDPR条文中有规定,针对资料剖析、特殊类别数据的应用,以及大规模公开系统监测等,都强制要进行隐私保护冲击分析与风险评估;其他根据WP 248原则规定,执行的范围则包括:资料评估或评价(包含资料剖析及预测)、法规自动化决策或相关影响的作业、系统监测、敏感数据、大规模的资料处理、经比对或合并的资料组、群体的隐私数据应用、企业导入创新应用解决方案、数据跨境(离开欧盟),以及避免资料当事人执行其权利或服务及合约等,总共有10点。基本上,只要符合上面任两点,就必须进行隐私保护冲击分析和风险评估;如果检视之後的结论并非是高风险项目,则需将完整的原因,予以档案化记录、留存。
当然,在执行范围的部分,GDPR也会有例外情境,要求企业须执行DPIA,像是使用新科技处理资料的方式,虽然是非高风险流程,也必须做DPIA;但如果是该流程应用已经是法规要求的非高风险流程,主要是基於法令法规的基准,且该法令法规已经明确定义应用流程的执行方式时,或者是和已经完成DPIA流程相似的流程,都可以直接使用先前DPIA的执行结果。
林彦良表示,如果这个要做隐私保护冲击分析的流程,已经是监理机关建立并对外公布的不需要再做分析清单类别,企业就可以不需要再做隐私评估;假使这个名单内容是符合GDPR WP的规范时,仍必须符合相关的管控措施。
另外,林彦良表示,其他更细的法规,也要求针对下列面向做出评估,分别是:提供应用流程的系统描述、必要性和比例性、当事人权利自由风险,以及利害团体参与等4个层面,并确保相对应的措施,可以达到相称性和必要性,并保障当事人权益。
至於进行DPIA的评估流程,从输入项目开始,针对应用流程和系统控管做评估,得出风险值後,也要徵询资料保护官(Data Protection Officer,DPO)和利害关系团体的意见;而利害关系团体在一般企业中,通常都会包括:应用开发团队、IT维运团队、采购团队、潜在供应商、数据控制者、法律遵循团队、统计分析团队,以及高阶主管团队等在内。
林彦良强调,经过DPIA的评估流程,企业往往可以得出两种结论。首先,如果是流程风险已经被识别,而且已经消弭高风险事项时,企业任命的资料保护官就必须留取相关的评估记录;但如果相关流程风险无法消弭,且剩余风险过高的情况下,就必须要事先与监管机关进行谘询,确保後续的流程应该如何进行,才不会有违法之虞。
系统流程需内建Privacy By Design,才能在资讯采集的第一步就做到隐私保护
但是,万幼筠也特别提醒,对於已经做好隐私保护冲击分析企业的IT部门而言,因应GDPR时,具有五大优点,包括:一、可以提供最终检查,在系统上线前,可以解决关键的隐私问题,并有余裕处理其他重大问题;二、也可以警惕专案经理和企业赞助商正视隐私问题;三、可以对IT专业人员实施教育训练,确保在所有系统开发过程中,认知隐私是重要的议题;四、维护和盘点组织内的资料处理活动;五、可严格按照GDPR对高风险流程,进行隐私保护冲击分析的要求。
但他也说,企业的IT部门还是会非常担心,认为只做隐私保护冲击分析对组织而言是不够的。例如,在完成隐私保护冲击分析的任务之前,有许多关键系统设计和实施问题已经存在并发生;许多做出重大隐私影响决定的人,并没有参与隐私保护冲击分析的过程;在做DPIA的过程中,只会列出主要的缺失,其他的缺失往往会先暂时忽略。
因此,要克服企业IT部门只做隐私保护冲击分析的缺点,万幼筠认为,Privacy By Design(预设隐私设计)才是真正解决企业隐私风险的根因。他进一步解释,Privacy By Design的特色就是,提供完整的生命周期保护,做到点到点的安全,在采集资讯的第一步之前,就已经嵌入到系统之中,并贯穿整个资料生命周期。
他表示,这是一种主动积极的措施,为了要预测并防止外泄隐私事件,是一种事前的防御,并不是事後的处理。当个资透过预设隐私设计的方式,在任何IT系统或业务流程中,都可以自动受动保护并提供最大程度的隐私,也可以将隐私嵌入到IT系统和业务流程中,作为系统交付的核心功能,而非附加功能。
因为Privacy By Design具有足够的可见性和透明度,也可以向所有利害关系人保证,无论涉及何种业务流程或技术,都可以依照原本提出的承诺和目标进行;同时,也因为是以使用者为中心、尊重使用者隐私,所以,便会需要建构人员与营运人员通过提供强力的Privacy By Design方式,藉由适当的通知及人性化选项的措施来维持个人利益。万幼筠认为,只有如此,才能以双赢的方式,满足所有法规遵循的利益和目标,并达到整合而非零和的目的。
