從去年的5月25日後,各界對於GDPR的討論已經從條文內容理解,慢慢進步到應該如何落實在企業的層面,隱私不是橫空出世、無中生有的概念,涉及許多的風險控管議題,而當主管監理機關對於企業的隱私保護工作,提出了更多的要求,以及媒體的宣導等,在這些因素的推波助瀾之下,社會大眾、企業越來越重視隱私。
對企業和組織而言,隱私工程是隱私治理的一環,當每個企業都必須面對如何確保隱私的安全性,以及落實隱私保護時,隱私工程勢必將成為持續關注的焦點議題。那麼,我們又該如何從組織營運的角度,來看待隱私工程呢?
隱私工程是協助企業做好隱私保護的手段和技術,然而,企業的營運卻不是為了保護隱私,該如何在這兩者之間找到共同努力的方向?重點在於,企業必須要把隱私當成作業風險管控的環節,才是務實看待隱私工程的面向。
隱私保護是作業風險控管環節之一
或許很多人記得,在1993年有一則網路漫畫,畫的是「在網路世界中,沒有人知道你是一條狗」,但20年後,紐約大學有一個針對社交媒體推特(Twitter)的研究顯示,在現在的資訊社會下,「大家不但知道你是一條狗,還知道你的毛色是什麼。」20年過去,隨著技術演進越來越先進,也帶出更深的隱私保護觀念。
做好隱私工程的關鍵原則
企業應該如何開始著手及落實隱私工程呢?首先就是要了解企業要保護的標的是什麼,因為GDPR將企業區分成兩種角色:控制者(Controller)和處理者(Processor),或許而不論是在歐盟境內營運,或者是對歐盟地區自然人提供產品或服務等,企業只要有蒐集處理歐盟地區自然人個資的相關情況,就適用GDPR的規範。
企業擁有個資的業務單位和資料使用單位,都必須共同承擔隱私保護的責任,因此,如果企業不夠了解作業流程,就無法找到隱私風險。
隨著GDPR實施,美國也有一些對抗的措施,例如,日前剛通過的加州消費者隱私保護條例。這個法案剛開始提出來的時候,包括臉書、Google、微軟和IBM等企業皆表示會尊重客戶隱私,但這四家企業後來竟付費給遊說團體,希望不要通過該法,只不過,當時加州民眾受夠大型企業濫用個資,最後是無異議通過該法。
企業越早納入隱私保護概念,後續的管理成本越低
若進一步理解美國的隱私保護概念,與歐盟的作法之間,其實有差別。
美國認為,隱私是自由民主的基礎,但隱私是自己的權利,所以,自己的權利要自己做好相關的保護;但歐盟各國林立,要協調出各國採行相同的隱私保護觀念很難,不過,歐盟還是有最重要的共通主張,那就是,隱私是一種基本權力,等同於人權的概念,而當社會上的弱勢團體(人民)無法保護自己權益時,該怎麼辦呢?因此,歐盟政府便有責任要保護弱勢,這與美國民眾主張自我權益要自己保護就有極大的不同。
掌握GDPR個資處理原則
GDPR個資處理原則第一要件,就是要做到「合法、公正且透明」,原本歐盟指導綱領的規定只有合法(Lawfulness)而已,後來也納入英國在BS10012的標準提到個資處理必須做到公平公正(Fairness),所有作業流程也要做到透明(Transparency)不要黑箱作業,第一要件往往是最重要的規定。
再者,目的限制就是要明定個資使用的特定目的,必須適當且合理關連;其次,要做到資料最少收集,包含業務端、IT技術端,所有資料收集利用都要最小化,這與隱私工程直接相關,但這不應該只是IT工程師的事情,對企業而言,業務、法遵、IT單位都要接受,因為之前大家對於隱私保護的觀念薄弱,往往會擔心最小收集的方式,會影響企業營運目標,所以執行業務的單位就是第一個關卡。他認為,只要先建立正確隱私保護的觀念、知識以及管理基礎後,隱私保護就會對企業營運帶來正向的影響。
第四要件必須做到正確性,第五要件則是達到資料完整及保密,這兩個要件就回到資安環節。魯君禮進一步解釋,要做到個資保護其實很簡單,只要所有個資的蒐集、處理及利用,可以做到資安(正確性;完整及保密)和當事人基本權利保護(公正、合法),就可以落實GDPR對企業要求的個資處理原則;至於預設隱私(Privacy by design)是企業必須承擔的責任與基本精神,歐盟的GDPR已經是個資保護的高標準,而現在,則要把這種隱私保護的觀念推廣到全世界。
參考資料來源:https://www.ithome.com.tw/news/127228
欲詳細了解產品資訊請拜訪:
正新電腦 https://www.pronew.com.tw/ 04-24738309
沒有留言:
張貼留言