【GDPR施行後的法遵議題】從企業營運看隱私工程帶來的效益

從今年的5月25日後，各界對於GDPR的討論已經從條文內容理解，慢慢進步到應該如何落實在企業的層面，隱私不是橫空出世、無中生有的概念，涉及許多的風險控管議題，而當主管監理機關對於企業的隱私保護工作，提出了更多的要求，以及媒體的宣導等，在這些因素的推波助瀾之下，社會大眾、企業越來越重視隱私。

對企業和組織而言，隱私工程是隱私治理的一環，當每個企業都必須面對如何確保隱私的安全性，以及落實隱私保護時，隱私工程勢必將成為持續關注的焦點議題。那麼，我們又該如何從組織營運的角度，來看待隱私工程呢？

資誠智能風險執行董事張晉瑞表示，隱私工程是協助企業做好隱私保護的手段和技術，然而，企業的營運卻不是為了保護隱私，該如何在這兩者之間找到共同努力的方向？重點在於，企業必須要把隱私當成作業風險管控的環節，才是務實看待隱私工程的面向。

安永企管顧問資深協理魯君禮：只要所有個資的蒐集、處理及利用，可以做到資安（正確性；完整及保密）和當事人基本權利保護（公正、合法），就可以落實GDPR對企業要求的個資處理原則；至於預設隱私（Privacy by design）是企業必須承擔的責任與基本精神。

隱私保護是作業風險控管環節之一

或許很多人記得，在1993年有一則網路漫畫，畫的是「在網路世界中，沒有人知道你是一條狗」，但20年後，紐約大學有一個針對社交媒體推特（Twitter）的研究顯示，在現在的資訊社會下，「大家不但知道你是一條狗，還知道你的毛色是什麼。」20年過去，隨著技術演進越來越先進，也帶出更深的隱私保護觀念。

張晉瑞認為，企業主要任務是業務營運，而非隱私保護，因此，隱私工程應該是作業風險控制措施的一還，從法規遵循的角度來看，並非採購特定的工具就算合規，而是必須要考量「最適化」與「必要性」，不一定單靠採用特定的技術，才能達到法規遵循的要求。

企業在意的是「風險管理」，隱私其實是企業風險管理的其中一個關注重點而已，企業面臨的其他風險，甚至還包括：品牌形象、產業特性、客戶信任度等等，因此，企業在面對GDPR的個資隱私保護的法規要求時，必定要回歸到一個最重要的原點，那就是：「當初收集這些個人資料的特定目的是什麼？」

企業要做好風險管理，首先，要知道風險在哪裡，針對可能產生的風險做出評估，以及執行隱私衝擊分析（PIA）、風險評鑑（RA），並且針對無法接受的高風險，透過各種降低風險、轉移風險、接受風險，甚至是不理會風險的方式來因應。

他說：「只有當企業知道為什麼要收集這些個人資料時，知道使用的目的是什麼，企業才能夠知道要採用什麼技術措施，來落實相關的個資保護。」

張晉瑞指出，隱私不等於資安，資安卻是達成隱私保護的重要手段，而且，也必須注意，企業即便做好了資安，並不代表隱私合規已經落實且完善。

他進一步解釋，傳統資安在乎的是，對於未授權的存取，有嚴格的控管，但隱私保護更在意的地方是，除了授權存取之外，同時還需要檢視是否妨害當事人的權利與自由，「這些個資你可以使用，但有沒有逾越當初蒐集個資時的特定目的？有沒有將個資轉售營利？這些都是隱私議題。」張晉瑞說。

安永企管顧問資深協理魯君禮表示，臺灣2010年通過個人資料保護法，並在2012年通過個人資料保護法施行細則，但可以看出臺灣企業對於隱私保護的觀念並不完善。他認為，隱私權和個資保護並不可以畫上等號，因為隱私權的範圍遠遠大於個資保護的範圍，所以，歐盟在制定GDPR的法規時，採用的是保護個人資料而非保護隱私的定義。

魯君禮認為，隱私其實是一種免於被他人打擾的自由，但現在處於網際網路普遍發展的時代，個資大量被揭露、網路上有各種個資的流傳，他說：「我的資料想讓誰知道，誰就可以知道；不想讓誰知道，誰就不可知道。」因為憲法並沒有明定人格權和隱私保護（資訊隱私）的概念，主要是透過大法官釋憲的方式，去保障相關資訊隱私權的權利：而資訊自主權，就是促進個人資料合理使用、資料自由流通，讓所有的個人資料好好用、合理用、尊重別人的用。

做好隱私工程的關鍵原則

資誠智能風險執行董事張晉瑞：隱私工程是協助企業做好隱私保護的手段和技術，企業必須要把隱私當成作業風險管控的環節，才是務實看待隱私工程的面向。

企業應該如何開始著手及落實隱私工程呢？張晉瑞認為，首先就是要了解企業要保護的標的是什麼，因為GDPR將企業區分成兩種角色：控制者（Controller）和處理者（Processor），而不論是在歐盟境內營運，或者是對歐盟地區自然人提供產品或服務等，企業只要有蒐集處理歐盟地區自然人個資的相關情況，就適用GDPR的規範。

當企業想要知道是否處於GDPR規範的範圍內，本身就要先了解各種個資使用情境和特定目的，也必須知道這個情境會對企業帶來多大的衝擊。我們必須確定的是，如果在GDPR規範內的個資蒐集、處理和利用等，在相關作業流程上，會面臨到哪些風險；在確認可能面臨的各種情境後，企業才去決定是否透過人工方式或是進行相關的系統開發，甚至是採用其他自動化工具去因應。

落實隱私保護需要投入許多資源，張晉瑞表示，企業必須要在作業風險層次因應GDPR的法遵要求時，所共同面臨的困擾就是：許多企業會把「隱私」這件事情，當成是IT部門或者是資安部門人員的天職，但實際上，企業必須從各種流程、情境上來進行判斷，才能發現隱私風險藏在哪裡，「因為，當企業流程會貫穿每一個部門同仁時，隱私保護就不是單一的資訊或是資安部門同仁的事情而已，是全公司的人都要一起面對的作業風險。」他說。

企業擁有個資的業務單位和資料使用單位，都必須共同承擔隱私保護的責任，因此，如果企業不夠了解作業流程，就無法找到隱私風險。

張晉瑞以銀行行員手抄催收呆帳客戶相關的資料為例，這是該名銀行行員的工作內容，表面上，這個員工認真努力，但只要深入了解，就會知道這是個資隱私保護的高風險行為，尤其當行員抄寫的內容，是公職人員或是臺灣前500大企業的員工資料時，相對地，這些名單也是民間放款的高利貸業者積極鎖定的名單，但這樣的流程必須經過流程盤點才會知道。

隨著GDPR實施，美國也有一些對抗的措施，例如，日前剛通過的加州消費者隱私保護條例。魯君禮說，這個法案剛開始提出來的時候，包括臉書、Google、微軟和IBM等企業，表示會尊重客戶隱私，但這四家企業後來竟付費給遊說團體，希望不要通過該法，只不過，當時加州民眾受夠大型企業濫用個資，最後是無異議通過該法。

企業越早納入隱私保護概念，後續的管理成本越低

若進一步理解美國的隱私保護概念，與歐盟的作法之間，其實有差別。

美國認為，隱私是自由民主的基礎，但隱私是自己的權利，所以，自己的權利要自己做好相關的保護；但歐盟各國林立，要協調出各國採行相同的隱私保護觀念很難，不過，歐盟還是有最重要的共通主張，那就是，隱私是一種基本權力，等同於人權的概念，而當社會上的弱勢團體（人民）無法保護自己權益時，該怎麼辦呢？因此，歐盟政府便有責任要保護弱勢，這與美國民眾主張自我權益要自己保護就有極大的不同。

例如，GDPR明確規範當事人有權拒絕被大數據分析，這也是企業對於隱私保護上，現階段最容易遇到的挑戰。當各行各業在大數據的應用越來越成熟、有效果時，如果合乎GDPR規範的企業，遇到當事人拒絕受到大數據的剖析時，企業的因應方式為何呢？

張晉瑞認為，企業從作業流程回推的話，就是回到為什麼要蒐集這些個資的特定目的是什麼？而企業希望大數據分析的目的是什麼？這些目的會使用到哪些個人資料，只將有需要用到的個資，才放到資料倉儲的系統作為分析之用。

「越早思考個資隱私對企業帶來的衝擊，越早期就做好因應措施，企業付出的成本也越低。」他說，企業必須拋棄過往「資料蒐集越多越好的心魔，以往資料在手、商機無窮的理論必須被顛覆，只留下有需要、符合業務使用目的的個資，因為，資料蒐集越多、要承擔個資保護的責任也越大。

個資隱私保護都不可能單獨交由資訊部門負全責，張晉瑞表示，大家都認同，在系統開發過程中，越早考量隱私和個資保護的議題，了解作業流程面臨的隱私需求和風險，管理成本就越小，越可以達到適當保護個資的效果。

如果從企業角度看，做到什麼樣程度才可以安心、可以符合法遵的要求呢？對於資料保護要做到什麼程度和狀態才真正合規呢？張晉瑞表示，法遵的要求會一直出現，企業不能說，等到掌握所有法遵要求後，才開始著手因應，時間上會來不及，反而是，當知道現階段面臨的風險有什麼，就先做什麼因應。

但是，企業是否要追求技術性的解決方案呢？張晉瑞說，技術手段和工具不是萬靈丹，像是機敏資料去識別化後，不表示，這些去識別化後的資料，不會被有心人士從其他管道識別到當事人。他舉例，紐約市政府有一個出租車及轎車的委員會，在2013年曾經公佈1億7千3百多萬筆的行車資料，相關個資去識別化，連GPS定位資料也模糊到一萬平方公尺，但就有資料科學家透過狗仔隊跟拍名人明星有時間戳記的照片，就可以識別出名人明星出門的路徑和活動趨勢，重新把已經去識別化的資料，又連結到原本的資料了。

目前歐盟GDPR還沒有推出相關的隱私保護標章，現階段，張晉瑞建議企業可以參考包括大家熟悉的安全管理認證ISO 27001系列，或者是ISO 29100隱私保護框架、ISO 29134隱私衝擊分析，甚至是ISO 27550隱私工程保護標準。透過這些國際標準，作為企業從營運治理因應個資隱私保護的管理標準與框架。

掌握GDPR個資處理原則

不過，GDPR個資處理原則第一要件，就是要做到「合法、公正且透明」，魯君禮表示，原本歐盟指導綱領的規定只有合法（Lawfulness）而已，後來也納入英國在BS10012的標準提到個資處理必須做到公平公正（Fairness），所有作業流程也要做到透明（Transparency）不要黑箱作業，第一要件往往是最重要的規定。

再者，目的限制就是要明定個資使用的特定目的，必須適當且合理關連；其次，要做到資料最少收集，包含業務端、IT技術端，所有資料收集利用都要最小化，這與隱私工程直接相關，但這不應該只是IT工程師的事情，對企業而言，業務、法遵、IT單位都要接受，因為之前大家對於隱私保護的觀念薄弱，往往會擔心最小收集的方式，會影響企業營運目標，所以執行業務的單位就是第一個關卡。他認為，只要先建立正確隱私保護的觀念、知識以及管理基礎後，隱私保護就會對企業營運帶來正向的影響。

第四要件必須做到正確性，第五要件則是達到資料完整及保密，這兩個要件就回到資安環節。魯君禮進一步解釋，要做到個資保護其實很簡單，只要所有個資的蒐集、處理及利用，可以做到資安（正確性；完整及保密）和當事人基本權利保護（公正、合法），就可以落實GDPR對企業要求的個資處理原則；至於預設隱私（Privacy by design）是企業必須承擔的責任與基本精神，歐盟的GDPR已經是個資保護的高標準，而現在，則要把這種隱私保護的觀念推廣到全世界。

延伸閱讀

張晉瑞：從隱私治理層次來談隱私工程

魯君禮：化繁為簡談隱私工程與GDPR