(圖說:由左至右:微軟全球助理法務長暨台灣微軟公共暨法律事務部總經理施立成、台灣微軟總經理孫基康、微軟全球副總裁暨副總法律顧問Neal Suggs、東吳大學法律學系專任副教授余啟民、勤業眾信風險管理諮詢公司總經理萬幼筠。)
「一般資料保護規定」(簡稱GDPR),是歐盟即將在明年5月實施之資訊新法規,不但牽動範圍廣泛,企業組織無分大小,只要握有歐洲居民資訊即須遵循;而且該法案也以動輒高達新臺幣7.2億元或全球營業額4%的嚴厲罰款,讓全球企業不敢掉以輕心。
「在全球化的時代,國際商貿若忽略歐洲市場,我只能祝你好運!」今年11月特地造訪台灣的微軟全球副總裁暨副總法務長Neal Suggs,幽默點出GDPR的關鍵性。
所謂GDPR(General Data Protection Regulation),譯為「一般資料保護規定」,屬於歐盟針對個資的最新規範,不論設籍何處,只要搜集、處理和分析、利用歐盟居民資料的企業或組織,都將被強制要求遵守這個歐盟新版個資法規定。
即將在2018年5月25日上路的99項鉅細靡遺法條中,除了規定企業必須設置「資料保護長」一職負責資訊風險控管外,最引人矚目的就是個資外洩的處罰條例;若個資外洩,依情節輕重會被罰處1至2千萬歐元(新臺幣3.6億至7.2億元)或全球營業額2%至4%作為罰款,讓企業或組織無法掉以輕心或心存僥倖。
做好資料控管 以數位轉型迎接未來
根據統計,2016年台灣與歐洲的貿易額高達457億歐元,創下歷史新高,「台灣的製造業與出口十分興盛,因此GDPR法案對台灣的影響會非常大」,Neal Suggs解釋,以往個資法多針對服務業為主,不過GDPR新法的範圍則擴及到高科技與製造業、海空運輸業及電商服務等產業,就連非營利組織也無法倖免。
為協助企業因應GDPR上路,微軟早在一年半前便已成立高達數百人的微軟團隊著手進行準備,調整旗下產品及雲端服務,並率先成為首家以契約承諾協助客戶達成GDPR合規性的雲端服務供應商,避免自身與微軟客戶觸法。
循序漸進 四步驟迎接GDPR上路
「別將GDPR視為責任義務,可以將之視為一種契機。」微軟提出以探索、管理、保護、報告四步驟,避免企業誤踩GDPR紅線。
1.探索/識別企業所擁有的個資與位置
2.管理/改善使用和存取個資的方式
3.保護/採取足夠的安全技術保護個資
4.報告/揭露您的企業如何保護和使用個資
企業究竟該如何因應GDPR?Neal Suggs剖析,可以從幾個面向著手,首先就是簡化隱私歷程,使用微軟提供的雲端服務,提高隱私規格。再來,便是檢視風險並採取行動,微軟的解決方案能辨識曝險弱點,並迅速協助客戶加以補強。
「企業最大的風險,就是不知道員工如何使用蒐集來的資料。」因此Neal Suggs表示,微軟發展出完整解決方案,幫助客戶了解哪些流程可能暴露在風險中?重新深入檢視資料使用的所有過程。
(圖說:微軟全球副總裁暨副總法律顧問Neal Suggs)
掌握關鍵 就不怕誤觸嚴峻法條
東吳大學法律學系專任副教授余啟民認為,企業必須在便利性與資訊安全之間,在5C取得平衡點,才能站穩腳步,即使全面實施GDPR也無須畏懼。所謂5C,意指雲端平台(Cloud)、合乎規範(Compliance)、行為守則(Code of Practice)、合同承諾(Contractual Commitment)、及客戶糾紛解決(Customer Dispute Resolution)等五大面向。
余啟民提醒,GDPR精神中還有兩個很重要的概念—「透明」(Transparency)和「借力使力」(Leverage),也值得重新省思。歐美在強調資料收集與運用上,早已做到透明化的要求,台灣企業可以趁GDPR頒行的機會,修正自身在此面向上的不足之處。再來,危機也可能是轉機,利用更為先進的技術,借力使力去達到自身在資訊運用上的升級。
「台灣產業型態以中小企業出口為主,過往對此並不注意,往往是吃虧後才見招拆招,因此GDPR是一個極佳的『防範未然』推力。」微軟在此領域深耕已久,能夠協助企業建立防火牆機制,達到合規要求。
掌握機先 才能確保永續競爭力
勤業眾信風險管理諮詢公司總經理萬幼筠也表示,GDPR並非突發狀況,除了醞釀研擬已久,影響所及更是廣泛。「即便英國脫歐,仍會與歐盟的GDPR框架銜接。」 他接著深入剖析,「過去國內個資法著重在電信、金融、保險等產業,這一波GDPR新法,卻會衝擊到所有在歐洲有供應鏈或商業往來的台灣廠商,深遠影響全球對隱私權保護之架構。」
「而且這99項法條,對各種情境皆清楚規範;新法條的指涉範圍涵蓋所有歐盟居民,但因歐盟境內人民自由遷徙流動,這個『居民』的指涉範圍會愈來愈廣,舉凡近年湧入的難民,之後也有可能取得歐洲公民資格,也會變成GDPR保護的對象。」
因此,從積極的角度來看,GDPR不單只是針對歐洲,而是為全球帶來正向的示範效果,全球企業也到了該要採取行動的時刻。「展開因應GDPR資料保護規範的旅程,並不容易,因此尋找適合的夥伴一起面對,非常重要。」萬幼筠歸納。
微軟團隊累積豐富經驗,率先躍居首家以契約承諾協助客戶達成GDPR合規性的雲端服務供應商,不但協助企業擁有守護資料隱私的能力,更可兼顧成長及資安保護,因應不斷變化的競爭挑戰,正面迎向數位化發展的新契機。
歡迎下載白皮書,進一步了解如何針對 GDPR 進行準備與可以立即採取的步驟範例。