苏南/没资安哪谈得上隐私?欧盟最严个资GDPR来了!
▲资安在科技便利的现代尤其重要,尤其欧盟最严个资的GDPR,我国产业只要和欧洲做生意都得遵守,否则得面临巨额罚款。(图/Pixabay)
资讯安全在科技便利的现代尤其重要!8月3日,台积电的新机台安装没依SOP操作,致受变种病毒WannaCry入侵,损失约52亿台币。另一例,美国联邦参议院商务委员会主席图恩(John Thune)10月9日致函苹果(Apple)、亚马逊(Amazon)、美超微(Super Micro Computer Inc.),要求在12日前提出关于中国在伺服器主机板制程中植入恶意微晶片以窃取机密数据的说明。但前述3家企业却都严正否认,美超微表示,未知悉产品中有任何未经授权的零组件,亦无客户反映有发现这类零组件。
我国前瞻基础建设计划从2017年到2021年投入数位建设460.69亿元,强化政府基层机关的资讯安全防护、区域联防,以及强化国家资讯安全基础建设等。把数位经济带入产业生态,预计可带动民间投资2381.4亿元,每年创造约两千个工作机会。
资讯安全与个人资料的差异在于,资安是透过软硬体方式协助确保企业或组织的资料/资讯/资产的机密性、完整性、可用性,降低营运风险,例如系统监测、权限控管等;个人资料是指自然人之姓名、出生年月日、身分证字号,以及其他得以直接或间接方式识别该个人之资料(我国《个资法》第2条)。个资或许是企业内部的重要资讯资产,但个资与资安在保护方法却有不同,个资法益是要避免人格权受侵害,以及促进资料的合理利用;资安则要透过软硬体技术手段保护资讯财产,所以《个资法》更强调法令遵循。
继Facebook后,社群网站Google+也卷入个资外泄风暴,数十万用户的个资遭曝光,该问题在半年前就已发现却不敢公开,以致个人版Google+将走入历史!今年5月开始施行的《欧盟个人资料保护规则》(GDPR),目的为提供欧盟人民更佳的隐私与自由保障,促进欧盟内资料流通及降低企业经营障碍。它的规范对象有自然人、法人、公务机关或其他机构,包括于欧盟境内驻点及「非」设立于欧盟但其商品或服务涉及欧盟人民个资的行为。
GDPR对于个资的控管者及处理者的责任加重了,包括同意规范、侵害通报、隐私冲击影响评估、资料保存等。另外,对资料当事人的权利也加强了,包括近用权(Right of Access)、更正权、删除权、限制处理权、可携权及拒绝权等。GDPR对于个资的定义也比我国《个资法》更广义,只要可识别或可得识别的自然人相关资讯,包括姓名、可识别号码、位置资讯、网路识别码及其他特种个资都算。
智慧型手机、平板电脑已是国人最常使用的3C产品,但其中的资安问题,除了常見的病毒、惡意程式外,更可怕的是藏在App中的隐私问题。像Sony的Play Station网路曾于2014年遭骇客攻击,泄漏了员工薪资、美国社会安全码等大量个资。因此,AIoT(人工智慧结合物联网)服务,目前虽热门,但若没做好资安防护,可能发生个资被骇,造成使用者的隐私曝光。GDPR强调尊重资料主体的权利,要求资料的控管者/处理者或云端服务提供者担负更多的新义务,但困难点则在于,如何确认不同环节(资料收取、处理和存储)该由谁来负责?
对于欧盟GDPR,我国产业只要和欧洲做生意都得遵守,包括航空海运货运承揽业、连锁饭店业、高科技制造业和金融业、网站提供欧洲民众浏览及在欧洲设有分公司、子公司的企业等。倘涉及欧洲民众的个资外泄,必须在72小时内通报资料保护主管机关,并依情节轻重罚锾,轻者可能被罚款1,000万欧元(约3.6亿台币)或全球营业额2%;重者则以2,000万欧元(约7.2亿台币)或全球营业额4%作为罚款(取金额高者作为罚款)。
笔者以为,受GDPR影响的我国企业,可在原本因应我国《个资法》的系统与制度上,重新检视原本的保护系统及政策是否可满足GDPR的规范,建议可新增原先台版《个资法》所没有规范的项目,例如科技衍生的隐私资料等,才能大幅降低必须重新因应欧盟GDPR的高门槛。
好文推荐
苏南/用法治精神为正义转型