蘇南/沒資安哪談得上隱私?歐盟最嚴個資GDPR來了!

資安科技便利的現代尤其重要,尤其歐盟最嚴個資的GDPR,我國產業只要和歐洲做生意都得遵守,否則得面臨鉅額罰款。(圖/Pixabay)

資訊安全在科技便利的現代尤其重要!8月3日,臺積電新機臺安裝沒依SOP操作,致受變種病毒WannaCry入侵,損失約52億臺幣。另一例,美國聯邦參議院商務委員會主席圖恩(John Thune)10月9日致函蘋果(Apple)、亞馬遜(Amazon)、美超微(Super Micro Computer Inc.),要求在12日前提出關於中國在伺服器主機板製程植入惡意微晶片以竊取機密數據的說明。但前述3家企業卻都嚴正否認,美超微表示,未知悉產品中有任何未經授權的零組件,亦無客戶反映有發現這類零組件。

我國前瞻基礎建設計劃從2017年到2021年投入數位建設460.69億元,強化政府基層機關的資訊安全防護、區域聯防,以及強化國家資訊安全基礎建設等。把數位經濟帶入產業生態,預計可帶動民間投資2381.4億元,每年創造約兩千個工作機會。

資訊安全與個人資料的差異在於,資安是透過軟硬體方式協助確保企業或組織的資料/資訊/資產機密性完整性可用性,降低營運風險,例如系統監測、權限控管等;個人資料是指自然人之姓名、出生年月日、身分證字號,以及其他得以直接或間接方式識別該個人之資料(我國《個資法》第2條)。個資或許是企業內部的重要資訊資產,但個資與資安在保護方法卻有不同,個資法益是要避免人格權受侵害,以及促進資料的合理利用;資安則要透過軟硬體技術手段保護資訊財產,所以《個資法》更強調法令遵循。

繼Facebook後,社羣網站Google+也捲入個資外泄風暴,數十萬用戶的個資遭曝光,該問題在半年前就已發現卻不敢公開,以致個人版Google+將走入歷史!今年5月開始施行的《歐盟個人資料保護規則》(GDPR),目的爲提供歐盟人民更佳的隱私與自由保障,促進歐盟內資料流通及降低企業經營障礙。它的規範對象有自然人、法人、公務機關或其他機構,包括於歐盟境內駐點及「非」設立於歐盟但其商品或服務涉及歐盟人民個資的行爲。

GDPR對於個資的控管者及處理者的責任加重了,包括同意規範、侵害通報、隱私衝擊影響評估、資料保存等。另外,對資料當事人的權利也加強了,包括近用權(Right of Access)、更正權、刪除權、限制處理權、可攜權及拒絕權等。GDPR對於個資的定義也比我國《個資法》更廣義,只要可識別或可得識別的自然人相關資訊,包括姓名、可識別號碼、位置資訊、網路識別碼及其他特種個資都算。

智慧型手機、平板電腦已是國人最常使用的3C產品,但其中的資安問題,除了常見的病毒、惡意程式外,更可怕的是藏在App中的隱私問題。像Sony的Play Station網路曾於2014年遭駭客攻擊,泄漏了員工薪資、美國社會安全碼等大量個資。因此,AIoT(人工智慧結合物聯網)服務,目前雖熱門,但若沒做好資安防護,可能發生個資被駭,造成使用者的隱私曝光。GDPR強調尊重資料主體的權利,要求資料的控管者/處理者或雲端服務提供者擔負更多的新義務,但困難點則在於,如何確認不同環節(資料收取、處理和存儲)該由誰來負責?

對於歐盟GDPR,我國產業只要和歐洲做生意都得遵守,包括航空海運貨運承攬業、連鎖飯店業高科技製造業和金融業、網站提供歐洲民衆瀏覽及在歐洲設有分公司、子公司的企業等。倘涉及歐洲民衆的個資外泄,必須在72小時內通報資料保護主管機關,並依情節輕重罰鍰,輕者可能被罰款1,000萬歐元(約3.6億臺幣)或全球營業額2%;重者則以2,000萬歐元(約7.2億臺幣)或全球營業額4%作爲罰款(取金額高者作爲罰款)。

筆者以爲,受GDPR影響的我國企業,可在原本因應我國《個資法》的系統與制度上,重新檢視原本的保護系統及政策是否可滿足GDPR的規範,建議可新增原先臺版《個資法》所沒有規範的項目,例如科技衍生的隱私資料等,才能大幅降低必須重新因應歐盟GDPR的高門檻。

好文推薦

蘇南假新聞殺人後,資安危機如何防堵

蘇南/成年意定監護制度—自己的監護人自己選

蘇南/用法治精神爲正義轉型

●蘇南,國立雲林科技大學營建系及通識教育中心教授,中正大學法學博士中國政法大學法學博士。以上言論不代表本公司立場。