臺灣勤業(yè)眾信風(fēng)險(xiǎn)諮詢管理公司協(xié)理林彥良表示，因應(yīng)GDPR是一場持久戰(zhàn)，企業(yè)可以從識別利害關(guān)系人到打造隱私管理架構(gòu)，進(jìn)一步做到持續(xù)性落實(shí)與監(jiān)督，達(dá)到資料保護(hù)的目標(biāo)。（圖片來源／臺灣勤業(yè)眾信）
　　距離在5月25日剩下不到三個(gè)月，歐盟通用資料保護(hù)規(guī)則（GDPR）就要正式實(shí)施，全球企業(yè)其實(shí)都會(huì)直接或間接受到GDPR的影響，臺灣勤業(yè)眾信風(fēng)險(xiǎn)管理諮詢公司總經(jīng)理萬幼筠表示，若從法律層面的屬人主義或?qū)俚刂髁x來看，光是涵蓋或影響的國家就超過190個(gè)；該法也沖擊歐洲、美國和亞洲等三大區(qū)域，對於資料保護(hù)協(xié)定的內(nèi)容條文規(guī)定；更應(yīng)運(yùn)出超過80個(gè)以上的新條文規(guī)范。

　　他認(rèn)為，GDPR不僅會(huì)成為潛在的國際資料安全保護(hù)的基準(zhǔn)線（Baseline），隨著全球化、往來無國界的趨勢，臺灣企業(yè)想要跟歐盟做生意，如果不能符合GDPR對於歐盟公民個(gè)資保護(hù)的相關(guān)規(guī)范，GDPR就會(huì)成為企業(yè)進(jìn)軍歐盟市場最關(guān)鍵的貿(mào)易壁壘。

　　因此，臺灣企業(yè)為了要了解自家企業(yè)是否受到GDPR的規(guī)范外，就得要進(jìn)一步了解，企業(yè)在執(zhí)行GDPR個(gè)人資料保護(hù)的過程中，在因應(yīng)這些新的法規(guī)遵循要求時(shí)，究竟會(huì)對企業(yè)帶來什麼樣的沖擊。因此，萬幼筠建議，臺灣要評估是否受到GDPR影響的企業(yè)，都應(yīng)該優(yōu)先執(zhí)行隱私保護(hù)沖擊分析（Data Protection Impact Assessment，DPIA），以及風(fēng)險(xiǎn)評估（Risk Assessment，RA）。

　　臺灣勤業(yè)眾信風(fēng)險(xiǎn)管理諮詢公司協(xié)理林彥良指出，企業(yè)執(zhí)行隱私保護(hù)沖擊分析是一種義務(wù)，重點(diǎn)在於要考慮管理個(gè)資隱私資料的生命周期，必須專注於保護(hù)隱私資料的準(zhǔn)確性、保密性、完整性、實(shí)際安全性及刪除的控制項(xiàng)目。

　　至於什麼時(shí)候是執(zhí)行隱私保護(hù)沖擊分析與風(fēng)險(xiǎn)評估的好時(shí)機(jī)？他認(rèn)為，只要是在隱私資料處理程序開始之前，或者是涉及自由及權(quán)利的高風(fēng)險(xiǎn)隱私資料的處理程序時(shí)，都是適當(dāng)?shù)膱?zhí)行時(shí)機(jī)。

　　林彥良也綜合相關(guān)法規(guī)要求表示，在5月25日之前，針對隱私應(yīng)用流程，有三種情況一定要做隱私保護(hù)沖擊分析與風(fēng)險(xiǎn)評估，包括：發(fā)現(xiàn)應(yīng)用流程有顯著變動(dòng)，或者是組織或社會(huì)條件發(fā)生變動(dòng)，以及至少每三年要針對流程做一次定期檢查。

　　至於執(zhí)行的范圍，林彥良表示，GDPR條文中有規(guī)定，針對資料剖析、特殊類別數(shù)據(jù)的應(yīng)用，以及大規(guī)模公開系統(tǒng)監(jiān)測等，都強(qiáng)制要進(jìn)行隱私保護(hù)沖擊分析與風(fēng)險(xiǎn)評估；其他根據(jù)WP 248原則規(guī)定，執(zhí)行的范圍則包括：資料評估或評價(jià)（包含資料剖析及預(yù)測）、法規(guī)自動(dòng)化決策或相關(guān)影響的作業(yè)、系統(tǒng)監(jiān)測、敏感數(shù)據(jù)、大規(guī)模的資料處理、經(jīng)比對或合并的資料組、群體的隱私數(shù)據(jù)應(yīng)用、企業(yè)導(dǎo)入創(chuàng)新應(yīng)用解決方案、數(shù)據(jù)跨境（離開歐盟），以及避免資料當(dāng)事人執(zhí)行其權(quán)利或服務(wù)及合約等，總共有10點(diǎn)�；�本上，只要符合上面任兩點(diǎn)，就必須進(jìn)行隱私保護(hù)沖擊分析和風(fēng)險(xiǎn)評估；如果檢視之後的結(jié)論并非是高風(fēng)險(xiǎn)項(xiàng)目，則需將完整的原因，予以檔案化記錄、留存。

　　當(dāng)然，在執(zhí)行范圍的部分，GDPR也會(huì)有例外情境，要求企業(yè)須執(zhí)行DPIA，像是使用新科技處理資料的方式，雖然是非高風(fēng)險(xiǎn)流程，也必須做DPIA；但如果是該流程應(yīng)用已經(jīng)是法規(guī)要求的非高風(fēng)險(xiǎn)流程，主要是基於法令法規(guī)的基準(zhǔn)，且該法令法規(guī)已經(jīng)明確定義應(yīng)用流程的執(zhí)行方式時(shí)，或者是和已經(jīng)完成DPIA流程相似的流程，都可以直接使用先前DPIA的執(zhí)行結(jié)果。

　　林彥良表示，如果這個(gè)要做隱私保護(hù)沖擊分析的流程，已經(jīng)是監(jiān)理機(jī)關(guān)建立并對外公布的不需要再做分析清單類別，企業(yè)就可以不需要再做隱私評估；假使這個(gè)名單內(nèi)容是符合GDPR WP的規(guī)范時(shí)，仍必須符合相關(guān)的管控措施。

　　另外，林彥良表示，其他更細(xì)的法規(guī)，也要求針對下列面向做出評估，分別是：提供應(yīng)用流程的系統(tǒng)描述、必要性和比例性、當(dāng)事人權(quán)利自由風(fēng)險(xiǎn)，以及利害團(tuán)體參與等4個(gè)層面，并確保相對應(yīng)的措施，可以達(dá)到相稱性和必要性，并保障當(dāng)事人權(quán)益。

　　至於進(jìn)行DPIA的評估流程，從輸入項(xiàng)目開始，針對應(yīng)用流程和系統(tǒng)控管做評估，得出風(fēng)險(xiǎn)值後，也要徵詢資料保護(hù)官（Data Protection Officer，DPO）和利害關(guān)系團(tuán)體的意見；而利害關(guān)系團(tuán)體在一般企業(yè)中，通常都會(huì)包括：應(yīng)用開發(fā)團(tuán)隊(duì)、IT維運(yùn)團(tuán)隊(duì)、采購團(tuán)隊(duì)、潛在供應(yīng)商、數(shù)據(jù)控制者、法律遵循團(tuán)隊(duì)、統(tǒng)計(jì)分析團(tuán)隊(duì)，以及高階主管團(tuán)隊(duì)等在內(nèi)。

　　林彥良強(qiáng)調(diào)，經(jīng)過DPIA的評估流程，企業(yè)往往可以得出兩種結(jié)論。首先，如果是流程風(fēng)險(xiǎn)已經(jīng)被識別，而且已經(jīng)消弭高風(fēng)險(xiǎn)事項(xiàng)時(shí)，企業(yè)任命的資料保護(hù)官就必須留取相關(guān)的評估記錄；但如果相關(guān)流程風(fēng)險(xiǎn)無法消弭，且剩余風(fēng)險(xiǎn)過高的情況下，就必須要事先與監(jiān)管機(jī)關(guān)進(jìn)行諮詢，確保後續(xù)的流程應(yīng)該如何進(jìn)行，才不會(huì)有違法之虞。

　　但是，萬幼筠也特別提醒，對於已經(jīng)做好隱私保護(hù)沖擊分析企業(yè)的IT部門而言，因應(yīng)GDPR時(shí)，具有五大優(yōu)點(diǎn)，包括：一、可以提供最終檢查，在系統(tǒng)上線前，可以解決關(guān)鍵的隱私問題，并有余裕處理其他重大問題；二、也可以警惕專案經(jīng)理和企業(yè)贊助商正視隱私問題；三、可以對IT專業(yè)人員實(shí)施教育訓(xùn)練，確保在所有系統(tǒng)開發(fā)過程中，認(rèn)知隱私是重要的議題；四、維護(hù)和盤點(diǎn)組織內(nèi)的資料處理活動(dòng)；五、可嚴(yán)格按照GDPR對高風(fēng)險(xiǎn)流程，進(jìn)行隱私保護(hù)沖擊分析的要求。

　　但他也說，企業(yè)的IT部門還是會(huì)非常擔(dān)心，認(rèn)為只做隱私保護(hù)沖擊分析對組織而言是不夠的。例如，在完成隱私保護(hù)沖擊分析的任務(wù)之前，有許多關(guān)鍵系統(tǒng)設(shè)計(jì)和實(shí)施問題已經(jīng)存在并發(fā)生；許多做出重大隱私影響決定的人，并沒有參與隱私保護(hù)沖擊分析的過程；在做DPIA的過程中，只會(huì)列出主要的缺失，其他的缺失往往會(huì)先暫時(shí)忽略。

　　因此，要克服企業(yè)IT部門只做隱私保護(hù)沖擊分析的缺點(diǎn)，萬幼筠認(rèn)為，Privacy By Design（預(yù)設(shè)隱私設(shè)計(jì)）才是真正解決企業(yè)隱私風(fēng)險(xiǎn)的根因。他進(jìn)一步解釋，Privacy By Design的特色就是，提供完整的生命周期保護(hù)，做到點(diǎn)到點(diǎn)的安全，在采集資訊的第一步之前，就已經(jīng)嵌入到系統(tǒng)之中，并貫穿整個(gè)資料生命周期。

　　他表示，這是一種主動(dòng)積極的措施，為了要預(yù)測并防止外泄隱私事件，是一種事前的防御，并不是事後的處理。當(dāng)個(gè)資透過預(yù)設(shè)隱私設(shè)計(jì)的方式，在任何IT系統(tǒng)或業(yè)務(wù)流程中，都可以自動(dòng)受動(dòng)保護(hù)并提供最大程度的隱私，也可以將隱私嵌入到IT系統(tǒng)和業(yè)務(wù)流程中，作為系統(tǒng)交付的核心功能，而非附加功能。

　　因?yàn)镻rivacy By Design具有足夠的可見性和透明度，也可以向所有利害關(guān)系人保證，無論涉及何種業(yè)務(wù)流程或技術(shù)，都可以依照原本提出的承諾和目標(biāo)進(jìn)行；同時(shí)，也因?yàn)槭且允褂谜邽橹行�、尊重使用者隱私，所以，便會(huì)需要建構(gòu)人員與營運(yùn)人員通過提供強(qiáng)力的Privacy By Design方式，藉由適當(dāng)?shù)耐ㄖ�及人性化選項(xiàng)的措施來維持個(gè)人利益。萬幼筠認(rèn)為，只有如此，才能以雙贏的方式，滿足所有法規(guī)遵循的利益和目標(biāo)，并達(dá)到整合而非零和的目的。