歐盟將於兩週後開始實施一般資料保護規範 (General Data Protection Regulation, GDPR),值此之際,全球各企業的首要之務就是 GDPR 就緒程度。除了據點設於歐盟 (EU) 地區的企業和組織,其他各地的企業也一樣嚴陣以待。
GDPR 制定高標準資料保護規範,舉凡需要處理歐盟地區居民個人資料的組織,無論組織本身是否設於歐盟境內,一律必須遵守這項規範。這件事非常重要,因為 GDPR 制定的標準遠比現行美國隱私權法規定的標準更加嚴格。違規罰金也相當嚴苛:最高可罰 2400 萬美元或全球年營業額的 4%,且以其中金額較高者為準。
GDPR 奠基於七項資料保護原則,七項原則共同發揮作用,確保企業在收集與處理個人資料時不得不格外留意個人權利。
在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。
首先,我們來瞭解一下 GDPR 的基本概念。
具體而言,GDPR 到底是什麼?
一般資料保護規範 (GDPR) 是即將針對 28 個歐盟會員國實施的全新資料保護法。
鑑於 28 個歐盟會員國現階段採行的資料保護規章及權力亂無章法,因此,GDPR 的用意即在於取代現行規範,即將成為全歐盟境內完全同調且一體適用的法規。
這項改革措施將歐盟 1995 年資料保護指導方針的各項原則修訂得更符合現代需求,而且能夠規範法規所稱的資料控管者及資料處理者 (文後將詳細探討),進一步保障資料控管者及資料處理者所處理的歐盟公民個人資料。
新法規加強了使用者對於個人資料處理及儲存方式的掌控權,同時讓使用者得以享有重要的權利及自由,例如刪除權、同意權、知情權、資料流通權,以及個人資料刪除權 (亦即「被遺忘權」)。
接下來,我們來深入探討幾個攸關 GDPR 的重要問題:
GDPR 何時開始生效?
GDPR 是在 2016 年 4 月底簽訂立法,自 2018 年 5 月 25 日開始生效。自生效日起,任何組織,凡需收集、儲存或處理歐盟居民個人資料者,皆須遵守一般資料保護規範。
何謂個人資料?
個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。各行各業的組織多需收集、處理及傳輸個人資料,因此成為網路罪犯眼中有利可圖的目標,自然也是網路釣魚、拒絕服務、勒索軟體及進階持續性威脅等各類攻擊的對象。
資料控管者和資料處理者又是什麼?
控管者和處理者是兩種截然不同的組織,但兩者皆須遵守 GDPR。顧名思義,前者是指「控管」使用者資料的組織,後者是指「處理」這類資料的組織。
處理者泛指任何收集、處理、儲存或傳輸歐盟公民個人資料的組織。控管者則是主導處理者所行活動的組織。
也就是說,控管者負責決定個人資料的處理方式和理由,處理者則負責代控管者執行。例如,將支票攝影流程外包出去的銀行稱為資料控管者,其承包商即為處理者。
依據 GDPR 規定,處理者需保留一切處理活動的稽核記錄,但控管者有責任確保其所有資料處理者均遵守規定。一旦處理者網路出現漏洞,控管者也難辭其咎,同樣必須承擔資料保護義務。
控管者和處理者之間的個人資料傳輸作業必須安全無虞,處理資料的過程中,也必須妥善保護資料。在某些情況下,GDPR 也可以要求資料處理者刪除處理完畢後不再需要的個人資料。
誰必須遵守 GDPR?
GDPR 規範任何收集、儲存或處理歐盟居民個人資料的組織。無論貴公司的總部設於何處,皆須遵守這項規範。即使在歐盟地區並未設立實體據點的公司,一樣必須遵守 GDPR。
我已經遵守 HIPAA 了,應該不會違反 GDPR 吧?
不一定。兩項規範雖有一些重疊的部分,但 GDPR 的法規範圍更大,影響也更深遠。若有意深入瞭解兩者之間的差異,請參閱這裡。
違規會遭受什麼樣的懲罰?
若不遵守 GDPR,後果相當嚴重,罰金最高可達 2000 萬歐元或全球年營業額的 4%,且以其中金額較高者為準。
英國呢?英國脫歐之後就不需要遵守這項規範了吧?
不,即便脫歐之後,英國的公司行號仍須遵守 GDPR。英國退出歐盟的日期在 2018 年 5 月 GDPR 生效日之後。因此,英國企業仍屬於歐盟管轄範圍,必須遵守 GDPR。脫歐之後,英國企業如需收集、儲存或處理歐盟居民的個人資料,仍然必須遵守這項規範。
還有其他疑問嗎?請參閱我們的給拖延者的 GDPR 指南,查看關於 GDPR 及其象徵含義的深度剖析。現在,我們繼續探討第一條資料保護原則:公正、合法且公開透明的資料處理流程。
公正、合法且公開透明的資料處理流程
「公正、合法且公開透明的資料處理流程」,這項規定是資料保護法案的第一條資料保護原則,同時也是 GDPR 新式規定的基礎。這是什麼意思?
依據這項規定,GDPR 要求資料控管者必須能夠針對個人資料處理事宜提供詳細的資訊給資料當事人 (亦即使用者)。
資料控管者必須以容易取得的方式提供這項資料,並且必須採用簡明扼要、一目瞭然的用語,否則視同違反規定。換句話說,冗長的使用者協議此後再也不管用了。
為遵守公開透明這項規定,資料控管者收集任何資料前皆須告知資料當事人,無論何時,只要變更資料收集流程,也必須告知資料當事人,最後,資料控管者必須請資料當事人同意資料處理事宜。
同意的形式不只一種,但必須是出於資料當事人的自由意志,而且必須由資料當事人主動表達同意
(即按下核取方塊)。也就是說,GDPR 嚴禁默許行為。
這條法律同時也闡明,收集並用於處理的資料必須「適當、相關,且符合資料處理目的所需」,而且該項資料的儲存期限必須「嚴格維持在最短期限內」。
MOVEit 對於遵守 GDPR 的助益
如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。
第一條原則的重點主要著重於同意權,但像 MOVEit 如此可靠的管理式檔案傳輸解決方案仍然能夠透過許多方式協助貴公司遵守 GDPR。例如,若使用者要求索取一份資料處理記錄副本,由於您必須遵守 GDPR 規定,因此一定要答應對方提出的要求。MOVEit 內建資料不可否認技術,因此您可以證明上傳、下載某個特定檔案的人員,也可以證明上傳及下載的檔案完全一致,從而能夠驗證每一位檔案存取使用者的身分,也能提供一份可靠的檔案存取記錄。
MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。
歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵含義。
另請觀看這部快速簡介七項資料原則的影片
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.