2018 年


2018-05-28

產品處 行銷副總 李孟秋

因應 GDPR,在大數據時代中實現隱私保護

2018 年 4 月,Facebook 執行長佐克伯(Mark Zuckerberg)接受美國國會議員連番拷問的景象,不論同為行銷、或軟體服務業者,或身為現代雲端網路社群廣大使用者的一員,想必都感到十分震撼。劍橋分析(Cambridge Analytica)以臉書 App 為管道,在 27 萬用戶同意的前提下,蒐集其個人資料、網路上的行為,卻超出其告知用戶的資料使用目的進行其它資料分析,進而販售可能多達 8,700 萬人的投票行為預測,造就可觀的商業價值,但這些公司在輿論及用戶觀感上最終也遭受了極巨大的衝擊。

 

但資料分析並非總對當事人有害;量身訂作、甚至具有學習能力的自動服務,常常為個人帶來更快速、準確、更具價值的資訊,這是軟體或雲端服務公司努力研發的目標。智慧科技進步,卻未帶來雙贏局面,關鍵即在於「隱私」。歐盟(EU)於 2018 年 5 月 25 日開始實施的通用資料保護規則(GDPR)代表較先進的隱私保護概念,以嚴格的規範及罰則,保護個人隱私不被侵害、濫用,它規範了清楚且與時俱進的原則,也替需提供產品服務的商業公司指引了使用個人資料的合法基礎。

 

GDPR 適用對象當中,台灣有哪些較受影響的產業?

簡單歸納而言,在歐盟設有分支機構如分公司的企業,若未符合 GDPR 要求,將直接面臨最高 2,000 萬歐元或全球營業額 4% 的高額罰款。所有提供貨物或服務給歐盟個人居民、或觀察分析個人在歐盟內從事行為的公司,都受 GDPR 規範、應遵循其個資保護原則。當中尤需注意透過當地的個人或分公司蒐集資料後,不論是提供給台灣出貨、或匯整、轉傳至歐盟境外,由台灣公司人員去處理等狀況,都可能構成「跨境傳輸」;以台灣未被納入 GDPR 允許跨國傳輸的現況下,極可能將違反 GDPR、必須立即審慎研擬合規作法。台灣的製造業、航空運輸及國際物流中以歐盟為往來對象者,乃至雲端服務提供廠商,或經營電商並含有大量歐盟使用者等狀況,因受直接影響,多數自去年起已展開相關因應措施。

 

比較與台灣個資法之異同,如何擴張因應措施?

GDPR 以現代的數位生活為考量,直接大幅度地明確納入數位資料並擴張間接資料的定義,也嚴格規範若由機器或軟體程式自動處理、進而自動決策而影響當事人權益的作法,必須提供人工的干預與救濟機制。當事人的權利則擴張至可要求的刪除資料(被遺忘權)或限制資料處理、轉移至其它服務提供者的權利,且過程中要以淺白易懂的方式說明。這些都比過去類似的法規更貼近現代所需、也更能保護個資當事人。

 

企業內部的因應措施,也被 GDPR 明確規範需設立資料保護長(DPO)、於個資蒐集之前,事先進行隱私衝擊評估(DPIA)。若個資外洩等違反個資保護原則的事件發生,72 小時內須通報主管機關,並可能需通知所有當事人。台灣的企業在已遵循現行個人資料保護法的前提下,與時俱進地將因應措施擴充至目前 GDPR 規範的範圍,不但不會與本地法規衝突,更是提升組織資訊安全、建立更完善的隱私保護制度,並展示對客戶隱私重視程度的契機。

 

主要差異面向

與台灣個資法相似的

因 GDPR 需額外因應的

個資定義

任何可識別自然人的資料,包含直接與間接資料

明確包含數位如如 IP、Cookie 與 GPS 等在內,並擴張間接資料的定義,意義上類似:姓名加上 Line 帳號即可識別個人、視為個資

蒐集之合法前提

依法告知目的、方式、內容欄位、利用方式及範圍、當事人權利,並取得同意

應提供的當事人權利中,定義更明確的「被遺忘權」、限制處理,以及可拒絕機器自動處理(包含剖析與決策)及資料可攜等。

告知的內容型式應白話易讀,確保對當事人而言公平與透明,甚至未成年人也看得懂

組織內的準備

配置管理人員及資源、設立管理機制並實作適當資料保護措施

蒐集前應進行隱私衝擊評估(DPIA)等程序,且明確定義應設立資料保護長(DPO)及其資格限制

機器自動處理、剖析與判斷

(台灣個資法尚無相關規範)

事前須評估,尤其是大規模的自動處理。且須明確通知當事人,讓其可行使拒絕權、不被分析、可要求刪除分析衍生的隱私資料,並且須提供人為干預或救濟機制

事件通報

以適當方式通知當事人

明確定義要在 72 小時內通知主管機關,且必要時通知所有當事人

 

了解 GDPR 資料保護原則,認知隱私保護設計之重要性

歐盟自 2012 年提出 GDPR 草案後,歷經4年討論才經歐洲議會通過、再 2 年準備期才走至今日施行,其立法精神主要揭露於條文第 5 條中,共包括 6 項個人資料保護的原則:對當事人合法、公平和透明,用途被限制,資料最小化於與用途相關,資料應保持正確性,保存有期限,以及維持資料完整及機密性。該條文也制定 1 項基本的當責精神:資料控管者(Controller),也就是要向當事人蒐集個資、決定用途及處理方式的公司,必須為資料蒐集及處理是否符合這些原則負全責,受其委託處理個資的資料處理者(Processor)則是在控管者的書面明確授權及指示下行動,且兩者都需實作技術和組織流程的安控措施以合乎此規範。

 

而網擎資訊,單就軟體系統之設計與開發,或評估一項資訊應用工具的角度,則建議企業參考 GDPR 第 25 條「隱私保護設計(Data Protection by Design and by Default)」的內容,確認軟體工具是否具有足夠、合適的技術來幫助公司達成各項原則,尤其是為符合資料最小化、保存期限可限制,並易於維持資料之正確、完整,同時有完整、紮實的存取管控設計以確保其機密性。軟體系統或雲端服務等應用,應該在設計過程中就確保預設只有現在目的必要的個資會被處理到,而當中個資的數量、處理過程、儲存期間及其存取,都應謹慎設計為符合隱私保護原則的實作,讓個資在預設情況下就不會因人為干預而遭未授權存取。此類隱私保護設計,屬於「隱私工程(Privacy Engineering)」範疇,企業可參考國際認證標準 ISO 27550 之內容進行相關評估。

 

GDPR 在大數據的時代開始正式施行,敦促現代的隱私保護更深入每一層面:身為個資當事人的我們,應注重所有商品及服務要求個資時,是否告知使用目的及我們的權益。而每一家企業,在接觸個資的同時,就應明確清楚身為資料管控者的責任,盡力依循保護原則並當責要求內外部的組織與流程配合,處理個資時,應採用符合隱私設計原則的工具、並持續加強組織對於資料保護的認知及稽核。而若是像網擎資訊這樣的軟體工具與服務提供者,則須從設計流程之初就遵循隱私工程原則。人工智慧配合無所不在的資訊收集,人們所需的安全及便利雖永遠無法兼得,但我們可以仍在不斷平衡及調整中,持續演化現代商業與科技環境內所需的觀念、制度及技術,迎向更進步的社會。