企業機構正為了符合即將在五月上路的歐盟通用資料保護法 (General Data Protection Regulation,簡稱 GDPR) 而忙於重整其資料蒐集與管理政策。GDPR 的影響範圍非常廣泛,涵蓋任何會蒐集並處理歐盟人民個人資料的企業機構,甚至非設在歐盟地區的機構也在涵蓋範圍內。然而,絕大多數的討論都圍繞在民間機構即將面臨的安全與資料相關問題。公家機關的情況則鮮少論述。GDPR 知道,為了公共利益,公家機關在某些特殊情況下必須擁有某些法律上的轉圜空間,尤其是牽涉到安全與醫療。
GDPR 針對公共事務的除外狀況
GDPR 的規範涵蓋所有類型的個人資料,包括可用來識別個人的所有資訊,如:姓名、社會安全碼,以及一些特殊資料,如政治主張和種族。這些都是公家機關經常會蒐集到的珍貴資料,包括:人口普查、選舉部門、醫療及就業團體等等。而這些資料在許多情況下,很可能被有心人士拿來對個人不利,因此才會有制定資料保護法的必要。
雖然 GDPR 針對個人資料的蒐集、管理與處理訂定了許多規範及嚴格的安全標準,但在某些情況下,GDPR 對於擔任資料掌控者與處理者的公家機關卻有些放鬆的規定。視歐盟或會員國的法律而定,這些豁免狀況包括:
- 為了履行資料掌控者或資料擁有人在就業與社會安全及社會保護法中的某些權利。
- 為了國防、犯罪調查、保障公共安全。
- 為了歐盟會員國與歐盟整體的金融或經濟利益。
- 為了公共利益而必須歸檔、為了科學或歷史研究之目的,或為了統計之目的,但僅限於必須獲得豁免才能完成該項工作時。
基本上,這些都是公共安全和學術工作相關的特定領域公家機關活動。在一般情況下,公家機關依然全面適用 GDPR,因此公家機關仍必須遵守其資料蒐集與處理規定。
特殊類型資料的處理
GDPR 有很大部分都是關於認定哪些類型的資料屬於個人資料,以及企業機構該如何處理這些類型的資料。該法對於個人資料的規定相當完整,並且禁止處理有關人種、種族、政治、宗教、信仰、基因與生物特徵,以及有關健康和性別傾向的資料。當公家機關在某些情況必須取得上述類型的資料時,GDPR 也明確訂定了禁則例外情況,包括:
- 若資料之處理有重大公眾利益之必要,那麼 GDPR 仍有一些轉圜空間,唯必須設置適當的機制來保障該人民的基本權益。
- 若資料之處理「有建立、執行或捍衛法律主張之必要,或當法院在執行其司法公務時」。
- 若資料之處理牽涉公共衛生領域,或者為了維持醫療照護、醫藥或醫療服務之高標準時。
- 若資料之處理為了公共利益而必須歸檔、為了科學或歷史研究之目的,或為了統計之目的而必要時。
當然,這些是在歐盟或會員國法律能確保其人民基本權益的情況下所訂的例外狀況。
公家機關人員會處理到一般民間企業無法取得的敏感資料,從社會安全碼到人種與生物特徵等資料,甚至牙醫就診記錄與完整的就醫記錄。因此公家機關和機構務必妥善保管所有人民委託給他們的資料。萬一這些資料落入網路犯罪集團手中,很可能將導致人民身分遭到冒用,進而引發嚴重後果。
公家機關該如何因應?
許多民間企業都在積極更新其資安防護並大肆翻新其作業流程來配合新的 GDPR 標準以保障資料安全。除此之外,也積極試圖達成該法對於資料擁有人的同意權及被遺忘權的規定。然而,公家機關基於公共利益的關係,在後者方面有較大彈性,但這項彈性也意味著資料的防護更加重要。
公家機關的挑戰在於根據 GDPR 的豁免情況來將資料分類,並且調整其政策和流程來配合歐盟和國家的法律,更新其資安防護,並且確保資料流程的安全。不論是否具有豁免權,採用最新、最頂尖的資安防護終究還是能夠讓公家機關獲得安全上的優勢。
為了做到更安全的資料蒐集與管理以符合 GDPR 規範,公家機關應採取以下步驟:
1.首先,掌握資料的流向並做好風險評估:您手上有哪些資料?蒐集該項資料的目的為何?其處理方式是否符合公共利益?誰可以存取這些資料?是否能將該資料刪除?
企業機構應採取最少資料的原則,換句話說,將所有從客戶或人民蒐集來的非必要資料刪除。
2.接著,檢討並更新您的資料蒐集與使用者同意政策,記住哪些是法規上具有豁免權的資料。
3.聘任一位資料保護長 (DPO),並確保 DPO 和資料擁有人之間保持暢通的溝通管道以防有任何疑慮 (例如要求資料從任何資料庫刪除)。
4.更新網路資安解決方案與資安政策。關於資料,GDPR 規定企業機構必須採取「適當的技術與組織手段」來確保其儲存與處理的安全。
法規規定企業機構應考慮建置「頂尖」的資安防護,因此可考慮採用第一線的資安品牌。
5.若您負責處理資料,請保留完整的活動記錄。GDPR 規定,企業機構必須記錄一些資料處理的細節,如:個人資料的處理時間、處理人員、處理方式等等。
6.檢討現有的服務供應商或廠商,包括任何負責幫您處理資料的人,他們也必須符合 GDPR 的規範。您應更新您和供應商之間的所有契約,要求他們承諾遵守法規並保障個人資料的隱私。
7.不論是資料掌控者或處理者,GDPR 對於資料外洩事件的通報規定更加嚴格,罰鍰也更高。檢討並更新通報政策,模擬一下可能發生資料外洩狀況。
以上清單雖不盡完整,但仍有助於公家機關開始著手。
歐盟會員國還有以下額外責任:
1. 必須設置一個監理單位來負責監控並強制執行法規以及其他工作。
2. 此外也必須填補許多法律上的空缺。GDPR 保留了許多空間給各國政府來加入具體的管制或除外情況。該法規只規定了一些最低要求,會員國可自行決定是否進一步限制或放寬規定。
更多的個人資料,意味著更大的責任。結論是,企業機構在制定資料管理政策及程序時必須隨時注意隱私權。公家機關或許希望能提供快速而高效率的服務,但考量當前的威脅情勢,安全依然是第一要務。更有效率且更安全的資料管理對任何機構來說都是無價之寶,尤其是牽涉到公共利益,以及身處於今日連網的資料導向世界。
看看趨勢科技如何協助您達成 GDPR 要求。
原文出處:Balancing Security and Public Interest: The GDPR and the Public Sector