參與多場GDPR的會議與論壇,也研讀完數百頁GDPR法規後,再參考國內四大會計律師事務所相關文件,與看過國內外媒體相關評論與見解,仍認為有模糊的解釋空間,尤其是面對「屬地」或「屬人」觀點上,各家觀點多有堅持。但是不容否認GDPR是歐盟在個人資料與隱私保護至今最為嚴格的法律,附帶空前巨大懲罰性賠償,從全球對歐盟的商業及金融電信服務都必須繃緊神經。
法令本身有著其他外溢效果與感受:(1) 似有似無感受GDPR隱藏著某些程度保護主義色彩;(2)項莊舞劍有其針對性,對於已經遵守重視個資因保護的經濟體,沒有太大影響,對於不重視個資隱私保護的經濟體,有其傷害;(3)台灣及中國…等亞太經濟體(日韓已經積極與歐盟協商中),許多都不在歐盟允許個資收集交換的特許國家清單。
下一步該怎麼面對歐盟商業經濟活動所收集的歐盟成員國人民個資資料呢? 在政府協商與落實法令前,企業管控保護流程須符合歐盟GDPR規範外,在銷往歐洲或歐盟在台企業體之相關資訊與資安產品(有收集處理到歐盟國人民相關軌跡記錄者),建議進行修訂以期合乎GDPR規範,減少日後紛爭與巨額賠償。例如:雲端服務產業尤為明顯重視,不論是Amazon Cloud(最早宣稱支GDPR)或Microsoft Azure都宣稱合規。
在未來取得歐盟認證「或許」是一條可行辦法,但是跨國資料交換短時間並不可行(台灣不在清單中),可以採取相關歐盟人民資料在當地落地保護更為合適。反向思考,其實台灣個資法也是基於歐盟商業活動需要為基礎的規範法律。可惜的是國內個資法施行這幾年的「修行」,不乏淪為口號式、規律式運作模式,企業組織是否真心依循法規而行,企業「唯心」「部分合規」所佔的比例,更重於實際落實(相關裁罰與稽核機制都未見成效)。與其說大家面對GDPR感受到壓力,不如換角度想,如果好好落實台灣個資法相關規範,再進一步對比GDPR規範,其實許多條文精神是一致的。
除了在技術應用、罰則以及保護項目更多更廣。當時台灣灣個資法修訂時,對於IP位址、基因、醫療(特種個資)…幾乎採取暫時性迴避,而歐盟GDPR幾乎全部涵蓋。此外在系統設計思考上,請將刪除權、被遺忘權(Right to be forgotten)、資料可攜權(Right to data portability)、反對權(Right to object)適型性加入系統流程中。GDPR也設計獨立DPO資料保護官,視該企業體超過一定規模,亦可在系統功能上,強化這類角色的權限做為區隔。
相關流程與系統設計原理,個人認為GDPR是一個兼容「屬地」與「屬人」的管控模式,企業如能採行相對嚴格既「屬地」亦「屬人」的設計精神出發更好,其理由在於歐盟國從小就重視個人隱私保護,對歐盟國成員就是一個生活具體法令化的過程。對其他亞太國家多半缺乏這樣的意識教育。
在安全保護技術應用上,當然不是讓企業無底洞的投資資安設備,「加密措施」的技術應用,無法迴避的基準。涵蓋資料檔案與資料庫內容,但是加密資料在交換與分析上,會造成應用障礙,必須妥善尋找合適產品來導入。以精品科技X-FORT為例,仍有幾項防護措施要進行修訂,有機會在GDPR所規範各系統在2021年前完成產品合規,例如:刪除設計與被遺忘權、資料庫強化加密保護、去識別假名機制(注意:假名與匿名意義上是不同的)。
除此之外,精品的SVS模組,將有機會成為前述加密與應用雙贏效果,SVS兼具資料安全交換應用的好工具,值得推薦大家購買使用。在資料落地設計上,X-FORT可以以伺服器資料庫在歐盟當地落地或以雲端落地方式區隔保護,來滿足相關限制需求。