【臺灣資安大會直擊】全球資安風險僅次全球暖化威脅，BSI更呼籲臺灣企業不可不知GDPR 10大重點

IoT技術越來越夯，卻也讓資安漏洞越來越大。英國標準協會（BSI）臺灣分公司總經理蒲樹盛說道，現在大家關注的智慧城市，包括智慧能源、智慧醫療、智慧建築、智慧家電（如智慧冰箱和洗衣機等），都屬於IoT一部分，也都會連結網路。但是，這種物聯網的形式，卻容易讓裝置中毒或遭駭。也因此，蒲樹盛表示，全球資安風險排名逐步上升，可算是僅次於全球暖化的議題 。

在過去，提到資訊安全，最常談的是機密性、完整性和可用性，企業往往只要顧好這三個面向，就不會有問題。但今日已不再是獨善其身的時代了；任何東西只要連上網，就算是穿戴裝置，也會有遭駭的風險。

因此，蒲樹盛認為，策略是最重要的。要建立有效的策略，首先須了解風險，而提出以下幾個建議，幫助大家找出風險、制訂策略：

1. 政策：隨著新科技的出現，公司需擴大政策範圍，比如制定以社群軟體交換訊息的政策、無線網路政策等，而政策的深淺則有賴風險程度。

2. 資訊分類分級：比如分A、B、C級，且各級也要說明如何控管等。不論是美國或中國網路安全法，都已有資訊分類分級的要求。因此，企業也應該對資訊分級分類。

3. 教育訓練；有計畫地引導公司同仁判斷訊息真假，比如分辨以假電子郵件地址進行詐騙或網路詐騙等。此外，教育訓練完的測試也很重要，以知道教育訓練成效與同仁的了解程度。

4. 技術控管：需進行生物辨識和身分識別。雖然目前多以指紋辨識技術為主，但未來可走向虹膜辨識或臉型辨識等。

5. 檢驗：透過監控來評估是否準備好面對資安風險

而為了保護個人資料的隱私，歐盟最嚴格的個資法：一般資料保護規範（General Data Protection Regulation，簡稱GDPR），將於今年5月25日生效。GDPR是臺灣個資法的兩倍、有99條，適用於任何與歐洲有來往的企業，不論公司規模大小、也不論歐洲客戶有多少，都一視同仁。但是，GDPR到底有哪些重點呢？今天，蒲樹盛再次強調GDPR 10大重點，讓大家一次了解歐盟最嚴的個資法。

重點1：5月25日正式生效

GDPR其實在2016年4月就已經通過了，不過這條規範將於 2018 年 5 月 25 日正式實行，適用於任何與歐洲有來往的企業。

重點2：企業必須設置資料保護長（DPO）

GDPR將企業分為資料控制者（Data controller）和資料處理者（Data processor），但不管是哪一種角色，只要涉及到蒐集歐盟民眾的個資，企業就必須依規定設置資料保護長（Data Protection Officer，DPO），並證實。

重點3：搜集資料於處理需取得明確的同意

雖然這個重點和其他個資保護法一樣，但一個明顯的不同是：企業不能使用術語等晦澀難懂的說法來取得個資，也就是說，企業必須用淺顯易懂的白話來解釋資料搜集，並取得民眾同意。

重點4:個人資料可攜權

個人資料可攜權指的是，歐洲民眾有權力將個人資料或相關資料從一個ISP（網路服務供應商）移轉到另一個ISP。也可想像成，某人將自己的資料從A電信轉移到B電信。

重點5：資料被遺忘權

這也就是人們有權要求移除自己負面或過時的個人資料。比如A一審有罪，但二審無罪，而網路上的搜尋仍有一審結果，這時就違反了資料被遺忘權。

重點6：72小時內需通報

GDPR明定，如果爆發個資外洩的資安事件，就要在72小時內通報給資料保護主管機關（Data Protection Authority）。

重點7：系統之資料保護設計

企業必須遵循個人資料蒐集最小原則（data minimization）。另外，GDPR也將「個人資料」範圍擴大到 Cookies、網路IP位址或GPS定位等，以及能夠辨識個人身分或性別的基因、生物特徵或醫療資料等。

重點8：反對權

歐洲公民可請求不再讓企業繼續使用個人資料，或個人紀錄。

重點9：建立資料保護影響評估（DPIA）

GDPR要求企業必須進行資料保護影響評估（Data Protection Impact Assessments，DPIA），以辨識業務中涉及個人隱私權的風險，並加以衡量、管理與因應，並於蒐集與處理個人資料前，評估該風險和業務活動必要性。

重點10：提高罰則

若違反GDPR，最高可罰2000萬歐元或全球總營業額的4%。