GDPR掀個資合規風暴 　國際級雲端服務有解

針對個人隱私保護範圍，不僅是傳統認知的個人可識別資訊，包含連線IP位址、瀏覽網頁Cookie、地理位置等數位隱私皆屬於保護範疇。也就是說，公司的網站只要出現來自歐盟區域的連線存取行為，尤其是註冊成為會員留下個資，就必須符合GDPR規範。且一旦發生資料外洩，強制須於72小時以內向主管機關通報，並說明整體狀況、影響層面、目前因應措施。經判定違反GDPR規範者，最重可罰2千萬歐元（約台幣7.2億元），或前一會計年度的全球營業額4%，較台灣的個資法更加嚴厲，對於仰賴網站營運業務的跨境電子商務、雲端服務、觀光旅宿業等，不可不謹慎看待。

明確定義資料主體、控制者、處理者義務

▲台灣微軟公共暨法律事務部副總經理廖怡苓建議，GDPR合規性會影響組織、人員、政策、技術，須由專屬團隊來推動，其中亦包含資料保護官的角色，進而諮詢法律專家的意見，以制定計畫與估算時間。

「所謂的資料主體，在GDPR角色定義即為個資本人；資料控制者則是決定蒐集的資料種類與應用方式，依照控制者指令執行則屬於資料處理者。」廖怡苓說。資料控制者須遵循GDPR規範，制定組織性、技術性的資料保護政策，並實施相關控管措施。

首先，在蒐集之前要說明資料處理目的與使用狀況，以及定義資料保存與刪除政策。針對法律有規定必須通知的事項，資料控制者必須先取得主體人的同意，例如蒐集的資料內容與目的、保存的時間與原因等細節，而且必須淺顯易懂。開始執行資料處理後，相關的儲存、應用等記錄皆須予以保存，且儲存只應該被運用在須處理的時間內，之後必須確實刪除。萬一資料處理並非為資料控制者執行，而是委由外部廠商，則控制者與處理者之間必須簽訂明確的合約事項，藉此確保委外廠商者也遵守GDPR規範。

前述主要是作法上與手段上的影響，對於組織而言，法律也有規定資料控制者要培訓內部員工，並非只採用IT措施得以解決。甚至在一定的要件下（例如常態性且系統性大範圍監控自然人的網路行為），資料控制者須聘僱資料保護長（DPO），較常見的是公務機關，抑或是處理資料涉及種族、政治意見、個人基因與健康、犯罪記錄等內容，就必須要有資料保護長，直接向管理核心層報告。

總體來看，GDPR上路後對資料處理的影響，廖怡苓說明，首先是要採用管理工具來建立資料透明度、記錄與保存處理行為、定期提出報告；其次是更新資料保護政策，以提供資料主體之控管，並確保處理之合法性；第三點則是針對個資儲存與使用建立嚴格控管機制。

國際級雲端服務管理 為合規奠定基礎

▲台灣微軟亞太區技術支援中心資訊安全暨風險管理經理林宏嘉提醒，面對國際性法規遵循，從企業整體競爭力與風險管理的角度切入，才是正確的方向，而非僅談因應之道。

她進一步說明，採用雲端服務之所以可提高隱私保護，首先是藉此達到統一處理，以簡化資料分類、分級控管，不論是靜止或傳輸中的檔案皆可施以加密保護；其次是雲端服務平台已取得相當多的認證，比如說最基本的ISO 27001、雲端服務的ISO 27018等法規，使用已經符合各種嚴格國際認證標準的雲端服務，將可協助客戶因應新法規的要求。

就隱私權而言，微軟提供的保護，已符合歐盟的標準條款。歐盟本就有定義個資離開境內後必須符合的規範，當然境外的保護措施理應更高，現階段常見做法是符合歐盟規定的歐盟示範條款（EU Model Clauses）；另一種是美國與歐盟制定的隱私盾牌（Privacy Shield），只要符合此規範，即可把資料從歐洲傳送到美國。「如今面對GDPR，儘管規範更為複雜、嚴謹，但微軟已有豐富的法規遵循經驗，足以協助客戶達成合規目標。」廖怡苓強調。

問題是現階段本土多數企業的思維，就如同當年台灣個資法將上路之前，抱持觀望心態居多。台灣微軟亞太區技術支援中心資訊安全暨風險管理經理林宏嘉觀察，從實際接觸的大型企業客戶來看，即便業務範圍包含歐洲，也認知到必須符合GDPR要求，卻遲遲無法決斷，究其原因在於單一法規遵循須投入的人力與成本過高。

他指出，其實微軟雲端服務提供的功能性皆已涵蓋法規要求，例如地端與雲端的資料，經過Office 365提供eDiscovery執行盤點之後，IT管理者可透過GDPR儀表板來查看合規達成率，並指出機敏檔案保護不足之處，如此一來，即可藉此改善保護等級，降低資料外洩風險。