[轉貼-][專訪]GDPR正式上路 SGS推多元服務

隨著全球進入數位化時代，而多年來全球各地不斷發生個人資料被濫用的狀況，且有日益擴大的趨勢，也讓歐盟早在 2016 年 4 月立法通過一般資料保護規定 (General Data Protection Regulation，簡稱 GDPR) ，新增時下科技常用的數位個資，取代自 1995 年開始推行的現有歐盟資料保護指令 (Directive 95/46/EC)。鑑於部分組織必須進行大幅變更才能符合規定，歐盟納入給予多達2年的過渡期，即在 2018 年 5 月 25 日全面生效，適用範圍涵蓋為歐盟 (EU) 人民提供商品和服務或是蒐集並分析歐盟居民相關資料的公司、政府機構、非營利機構和其他組織。

SGS全球數位部總經理Eric Krzyzosiak說，GDPR上路之後，帶來三大不容忽視的意義，首先是由於該法規條文相當嚴峻，影響遍及所有在歐洲營運的企業與政府組織，因此將會驅動企業投資大筆資訊費用在該領域上，且投資成本將會是Y2K以來最高的。其次，在全球各國對數位資料保護意識抬頭下，GDPR因資料保護範圍周全、處罰嚴厲，可望成為其他國家的遵循標準，目前已有美國、日本表態將遵守。最終，GDPR賦予民眾主張資料所有權的權利，能向公司查詢個人資料使用的狀況，這代表企業在運用資料時必須更遵循法規。

在全球數位化浪潮中，SGS也透過成立數位部門的方式，推出市場所需的應用服務，目前專注在GDPR、資安、物聯網、區塊鏈、人工智慧、電子商務等領域，以便維持在市場上的領導地位。

SGS GDPR Online上線 協助中小企業因應法規要求
在2018年5月25日上路的GDRP，其條文明白規定企業需依照6大原則使用個人資料，假若發生資料外洩的事件，資料控制者需在 72 小時內通知適當的主管機關。若外洩情形可能會導致個人的權利和自由，組織也必須通知受影響的個人，一旦違反法令規範，最高可罰2000萬歐元(約7.2億新台幣)或年度全球總營業額4%。

Eric Krzyzosiak指出，GDPR上路之後，至少影響到230萬家歐洲企業，但根據非官方統計結果顯示，約僅有8%公司完成準備。鑑於超過99%公司都屬於人力不足、資源有限的中小企業，於是我們透過推出SGS GDPR Online服務的方式，以Awareness、Map your activity、Identify your risk、Life cycle of your Data、Apple over the time等步驟，協助用戶判斷公司是否符合GDPR的法規要求，以及取得達成法規遵循的方法。

SGS GDPR Online服務提供中小企業以支付月租費的方式，取得因應GDPR法規的各種資源，收費機制則依照公司規模，分成19、29、49等三種等級。若用戶有問題，也可以透過線上詢問方式取得SGS技術顧問的回應。目前該服務主要針對歐洲企業為主，共有6國語言版本可選擇，考量到亞洲企業對該服務的強烈需求，所以預計在年底也會推出包含繁體中文在內的多種亞洲語言。 
SGS GDPR多元服務 有效保護個資安全 誠如前述，GDPR主要精神是要求企業以現有技術、執行成本，對消費者資料實施適當之技術及措施，如擬匿名化等措施，以實現資料保護原則，並將必要保護措施納入處理程序，以符合本規則之要求並保護個資當事人之權利。然而對於公司規模不大，卻有將部分數位產品銷售到歐洲市場的製造業而言，SGS又推出GDPR by Design服務，可針對特定產品或服務，透過ISO 27550標準架構進行資料流向實地查核，並輔以實驗室工具進行產品面安全測試及檢測，確保符合GDPR Privacy by Design/ Default之精神。

SGS 驗證及企業優化事業群資訊治理部門經理何星翰說，ISO 27550隱私工程六大特性，分別為機密性、 正確性、不可連結性、可用性、可介入性與透明性等等，能確保產品或服務符合GDPR要求的擬匿名化、去識別化等安全控制措施。SGS可協助輔導企業確認所提供產品或服務是否符合ISO 27550規範，確保數位產品或服務收集到的個人資料，在後續應用、保存過程中，都符合GDPR第25條之合規要求，進而維持公司在歐洲市場的業務。

另外，對沒有在歐洲經營業務，卻又想要知道公司因應GDPR法規的用戶，台灣SGS特別為台灣企業推出SGS GDPR PCA 法規遵循性查核服務。該服務是由資策會科法所依照GDPR、台灣個資法，以及產業其他組織個資管理措施，客製化GDPR法規遵循查核表，再由SGS稽核人員與資策會科法所法說專家共同執行實地查核，由法律專業人士審查查核報告，提供給企業組織參考並作為後續改善依據，有助於降低資料外洩風險，保護辛苦建立的公司商譽。
結論 為降低GDPR上路之後，各國政府都在跟歐盟洽談法規適用性的相互認證機制，以降低對該國企業的衝擊，如美國已與歐盟簽訂隱私盾協議（Privacy Shield Framework）而包含台灣、日本在內的其他國家，也正在尋求與歐盟簽訂相互認證的可能性。何星翰表示，其實台灣個資法法規具有相當程度嚴謹度，但是由於隱私權主管責任分散於各目的事業主管機關，容易給予其他國家執法一致性疑慮的刻板印象。SGS建議台灣政府應儘速比照歐盟主管機關架構而成立單一主管機關，加速與歐盟簽訂相關協議(如適足性決定)，同時各產業亦需自我努力，法規已正式生效無空窗期，應積極針對個資管理流程或將隱私設計置入重要產品生命週期，讓GDPR衝擊降至最低。

來源：https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=8643