法遵議題是組織單位賴以生存的基本,2020年臺灣組織和企業面對重要的法遵要求,對內有資通安全管理法適用、個人資料保護法的再修訂,對外受影響的法遵規範,包括2020年1月實施的美國加州物聯網法案、美國加州消費者隱私法,以及中國加密技術法等,臺灣高科技業者都深受影響。
臺灣資安法完成CI指定程序,個資法需考慮設獨立個資專責機構
2019年對於政府機關及特定非公務機關最大的影響,就是從元旦起,必須適用資通安全管理法,但是,關鍵基礎設施業者(CI)因為須完成指定的流程,行政院資安處處長簡宏偉表示,預計在2020年1月初,會完成所有八大關鍵基礎設施業者的指定程序,被指定的關鍵基礎設施業者,都必須符合規範。
安侯建業顧問服務部執行副總經理謝昀澤指出,隨著CI指定程序的完成,資安法也正式進入收網期,被規範機構的資安要求須陸續在2020年完成,其他像是5G產業、承接關鍵基礎設施業者相關專案的系統整合業者等,也同時都受到資安法的規範,不可輕忽。
在此同時,已歷經多次修法的「個人資料保護法」,也面臨再度修法的迫切性。主要是因為,日前國發會代表臺灣與歐盟進行GDPR(通用資料保護規則)適足性認定的技術協商,但目前的障礙有兩大議題,分別是歐盟最在意也是最關鍵的「獨立個資保護專責機構」,以及「個資跨境傳輸如何兼顧當事人個資保護權益與產業發展」。
國發會主委陳美伶先前表示,2018年與法務部商議過後,便由國發會成立個資保護專責辦公室,但面對歐盟要求個資保護機關必須是「獨立」且「專責」的機關,「還必須持續溝通協商」。
再加上,臺灣的個資法分成公務及非公務機關,面對GDPR必須一視同仁的重視個人資料保護。陳美伶坦言,因為非公務機關都有不同的個資主管機關,對個資保護的寬嚴不一,也必須透過修法,破除個資法公務及非公務機關適法性的差異,臺灣才有機會在兩年內,完成與歐盟GDPR適足性認定的談判。
謝昀澤也同時觀察到,臺灣金融業因為開放銀行的趨勢,金管會要求所有參加開放銀行(Open banking)和開放API(Open API)的生態鏈業者,都必須落實「Open API業務安全控管作業規範」在這個前提之下,也將成為金融業在2020年一定要面對的法遵要求。
美國加州推出物聯網裝置安全及個資保護的法規,衝擊全球高科技業
臺灣一直是許多資訊科技產品的製造商,包含大量的物聯網(IoT)商品在內,謝昀澤指出,2018年9月通過全美第一個加州物聯網裝置安全法案(SB-327),會在2020年1月正式生效。由於這個加州物聯網裝置安全法案的規定,所有物聯網裝置的製造商都必須提供合理的安全功能,包括每一個物聯網裝置使用的預設密碼必須是獨特的;也必須要在使用者首次設定該物聯網裝置時,提醒使用者要設定自己的密碼。對於許多負責品牌代工的臺灣高科技業者而言,都必須優先符合相關法遵要求。
為了抗衡歐盟在2018年5月正式施行、號稱全球最嚴格的GDPR(通用資料保護規則),美國加州也在同年6月,通過加州消費者保護隱私法(CCPA),於2020年1月正式生效。
不過,CCPA賦予個資當事人有權了解個資被蒐集、處理和利用的狀況,對方必須徵得個資當事人同意,才可以蒐集個資且必須告知用途,不得在個資當事人不同意的情況下使用個資;一般人不僅可以拒絕販售個人訊息,也可以要求刪除個人資料。這項法案對於個資當事人販售個資,也有年齡限制,原則上,16歲以下未成年人,禁止販售其個資;13歲到16歲可正面授權企業銷售,而13歲以下當事人的個資販售,須徵得父母或監護人同意授權銷售個資才行。
至於哪些企業必須符合CCPA的規範呢?包括:年營收超過2,500萬美元;交易處理超過5萬個消費者、家庭或設備訊息;或者是,銷售個資當事人個資可以賺取期年收入的50%或更多的企業,都要受到加州消費者保護隱私法規範。如果是擁有超過4百萬名個資當事人個資的企業,還會受到法律額外要求。業者如果違法,也將面對個資當事人的訴訟。
雖然CCPA是加州的法律,但因為也限制加州以外公司出售個資的權利,所以,實際效力涵蓋全美國。謝昀澤說,由於臺灣許多公司都在美國加州設立分公司或有往來,因此,都可能會直接或間接受到該法的規範或保護。
中國密碼法規範當地使用的加密技術,也影響未來科技與隱私保護
謝昀澤表示,中國在2019年10月通過的中國密碼法,並預計在2020年1月實施,許多人誤以為是規範中國民眾使用的密碼,但其實是規範對資訊進行加密保護、安全認證的技術、產品和服務。
面對兩岸關係緊張及中美貿易大戰遲遲看不到終點,未來中國政府規範限制的核心或商用的加密技術,也同時會影響未來所有科技技術的發展,以及個資隱私保護程度的深淺。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03