面對GDPR企業應做好資料防護

中華民國113年12月31日 星期二
工商時報 A7 名家評論
文／羅裕民 Grant Thornton Taiwan 正大聯合會計師事務所 合夥會計師

面對GDPR企業應做好資料防護

隨著數位經濟科技蓬勃發展，保護個人資料成為全球課題，歐盟為提升個人資料保護規範密度，於西元（下同）2016年5月24日通過一般資料保護規則（General Data Protection Regulation，簡稱GDPR），以取代歐盟1995年個人資料保護指令，並自2018年5月25日全面施行。

GDPR旨在保護歐盟境內公民的個人資訊安全，適用於歐盟體制內收集、處理或存儲個人數據的所有公司，其規範重點：1.企業必須設置資料保護專員，且需負起法律責任；2.個資的蒐集、處理和利用，必須先徵求當事人的同意；3.強化個人資料可攜權權利；4.新增被遺忘權，將不相關或過期的個人資訊移除相關連結；5.個資外洩必須在72小時內通報相關保護主管機關；6.個資保護系統預設要納入隱私保護；7.賦予當事人有權反對被自動化剖析權利；8.要求企業必須落實資料保護影響評估。

若企業違反GDPR最高可被處以2千萬歐元或全球年營業額4％（以較高者為準）鉅額的罰款。實務上，只要與歐盟企業有商業往來者都必須遵守GDPR，且大多會被要求簽訂GDPR合規聲明，也就是說若企業未設置相關資安保護措施，未來是有可能面對龐大金額的求償。

實務上，要如何採取行動來達到GDPR規範，建議企業在處理資料上應符合七大原則：1.合法、公平與透明性：應以合法、公平且對個資當事人透明的手段蒐集、處理個人資料；2.目的限制：應以特定、明確且合法的目的蒐集個人資料，且不得以與目的不符之方式使用；3.個資最小化：必須在須求的最低限度內蒐集、使用個人資料，且不得隨意擴大使用範圍；4.正確性：個人資料必須保持正確，並且於必要時確保其為最新的資料；5.儲存限制：不得逾越處理個資目的的必要範圍，並在資料儲存期間做合理保管；6.完整性與機密性：處理方式必須確保適當的安全性、完整性和保密性（例如透過使用加密）；7.責任性：資料控制者必須負責正確處理個人資料並遵守GDPR規範。

另外，企業亦可考慮導入ISO27001標準及其他軟體輔助工具，例如資料外洩防護軟體（Data Loss Protection，簡稱DLP）是防止資料外洩最重要的基礎系統，可有效針對網路、郵件及端點等的防護。

DLP常見的使用情境可區分為三個類型：1.檔案偵測：能在檔案、伺服器、數據庫之間藉由內容檢查，來監控資料的狀態是否具有潛在資料外洩的突發事件；2.閘道管制：在網路閘道Gateway或代理伺服器Proxy攔截檢視資料，但廣義來說藉由郵件、USB、各式通訊軟體等可傳遞資訊的管道也需要列入管制；3.端點保護：在端點主機電腦安裝Agent程式，將重要的文件、存放區進行檢視及加密保護。

當然，企業對員工的資安教育訓練與觀念宣導也相當重要，另可洽詢有經驗的專業人士協助建立有效的資安措施使風險降到最低。雖然投入資安防護的工作耗費時間及金錢，但基於預先防範勝於事後處理的原則，這項投資的重要性實不宜輕忽。