GDPR第25條將「隱私納入設計」 (Privacy by Design) 及「設計由隱私出發」 (Privacy by Default) 的概念帶入了法規,Privacy by Design並非新的想法或發明,而是早在20多年前由加拿大安大略省的資料隱私保護主管機關所開發的隱私保護框架,並在約10年前得到了國際的認可。
只不過,大家仍然不清楚,到底應該要做些甚麼,才能夠符合Privacy by Design 以及 Privacy by Default的要求。此外,更因為法規文字中提及了個聽起來很高科技的英文字, pseudonymizing, 讓大家誤以為這條法規科技技術含量一定很高,一定要懂高科技的人才能懂,才能做得出來。中文翻譯當然也沒有幫到企業的忙,因為中文翻譯把那大家都念不出來的英文字變得更難懂,又是假名化,又是隱名化、又是匿名化等,搞得倚賴該法規中文翻譯的企業們更是不知該如何是好。
GDPR中所要求的「Privacy by Design」 及「Privacy by Default」即是,企業作為資料控管者,不管是在決定資料處理的方式時,或是在進行資料處理的過程中,均應分別透過科技以及組織的措施機制,保護資料主體的個資權利。當然,這裡所指的措施或機制,必須要將各類因素納入考量,包含:
1. 業界現有的技術。
2. 執行成本。
3. 資料處理的性質、範圍、內容及目的。
4. 資料處理對當事人之權利及自由所生諸多可能且嚴重之風險等因素。
除此之外,資料控管者必須確保在預設情況下,限縮個人資料的處理。總的來說,該法條的重點在於 - 個資收集處理最小化並對所持有的個資盡到保護的責任。
而所謂資料收集處理最小化,多半企業直接想到的是 – 那就少收點資料好了。但每當被問到甚麼時候會將手上所持有的資料刪除時,大多的回覆是: 「等儲存空間沒了才會想到要刪除吧?」 接著若被問到,那你們不是有做國際水準的隱私保護驗證嗎? 那你們的風控顧問沒有意見? 回覆竟是:「喔,沒有啊,我們一向都在我們的個資盤點大表上寫著永久保存。有的顧問會說因為不好寫永久,所以就寫個99年。」殊不知,這樣的個資處理方式早已經違反個資保護的規定。
依照GDPR的要求,若收集處理的目的消失,除非有其他的法規依據,否則個資控管者必須其所收集到的個資進行刪除。去年德國柏林的個資保護主管機關就因為這樣對一間房地產公司裁罰1450萬歐元的罰鍰。在2017年,主管機關在對該公司的一次實地調查中發現,該公司的儲存系統不允許刪除不再需要的承租人資料,包含敏感資訊如薪資與健康保險相關資料。當下該公司被要求改善,但當主管機關在2019年再次對該公司進行調查時發現,這些資料仍在該公司的儲存系統裡。
因此,該公司被主管機關裁罰,裁罰原因主要有二:1.封存系統不允許刪除並不符合GDPR 隱私納入設計的概念;
2.該公司該刪除的資料未進行刪除。
其實針對所持有的個資是否刪除,該刪除到甚麼程度,很多企業都有同樣的疑問。就怕如果刪了,以後突然有需要該怎麼辦?因此,許多企業都只有在不得已的時候才會將手中所持有的個人資料刪除。但萬萬沒想到,這樣的做法在現今個資保護要求日趨嚴格的情況下,只會導致企業違規。
那企業該怎麼做呢?1. 企業務必對自己所收集處理的個人資料有完整的理解。
2. 針對資料的生命週期,企業應該有完整的掌控。
3. 企業應設計出一套辨識資料保存期的流程與機制。
如果企業真的以為個資保護的法律要求,就只是請IT主管採購更多的資安產品,那可能真的是誤會大了。
(原文撰寫於2020年5月14日)