新的全球標準可能有助於為歐盟《一般資料保護規則(General Data Protection Regulation, GDPR)》中的許多適法性要求提供認證。
正值歐盟《一般資料保護規則》實施滿一週年之際,我準備在倫敦舉行的 英國標準協會(BSI)活動上發表演說,探討隱私保護新標準即 ISO 27552 的潛在影響,我認為值得在 GDPR 特定背景下研究此一新標準。因此,我做了一些重要的觀察。
對於 GDPR 的「描述」已經改變
在 GDPR 實施之初,驅動企業遵守規範的主要因素-當然同時也是吸引最多新聞版面的一件事—就是對企業不符合規範行為之罰款最高可能達2000萬歐元或占全球收入4%。儘管實施初期並沒有發生太多裁罰,但隨後我們看到各類型及規模的企業因以不同方式違反 GDPR而受到裁罰。
自 GDPR 實施以來的12個月 中,最顯而易見的是其要求嚴苛。不僅有問責原則(確保資料不被濫用),而且企業還必須主動證明自己是如何建立為遵守該法律規範的流程、程序與政策。
由於GDPR法令遵循的 複雜性,認證—能夠證明企業至少遵循GDPR規範內的某些要求—已成為焦點。
ISO 27001為GDPR法令遵循的起點
可惜截至目前,仍未有一項能全面性符合所有 GDPR 法令遵循要求的國際標準。因此儘管某些企業不實宣傳著不存在的服務,但其實根本還沒有一套正式的 GDPR 完整認證制度問世。然而,還是有一些標準能夠幫助企業符合 GDPR 的某些要求。
其中最引人注目的是ISO 27001—它的框架與 GDPR 的規範要求存在共通點。ISO 27001 是描述資訊安全管理系統 (Information Security Management System, ISMS)最佳實踐的國際標準。重要的是,它提供了證據證明企業已採行滿足 GDPR 的資料安全要求之措施。
ISO 27552 帶領我們更進一步接近 GDPR 認證
儘管 ISO 27001 係國際公認的標準,但在GDPR法令遵循方面,它僅有助於證明企業符合GDPR的部分規範。而新的ISO 27552 標準則致力提供與GDPR規範更加一致的認證。
ISO 27552目前正在開發中,預計最早將於2019年第四季度發布,它將是ISO 27001的延伸 ,增加了與隱私相關的控管框架與最佳做法。它藉由隱私資訊管理系統(Privacy Information Management System, PIMS)對ISO 27001標準下的資訊安全管理系統(ISMS)進行補充,更重要的是,ISO 27552將與隱私相關的控制措施結合GDPR 的規範。
令人驚訝的是,ISO 27552 到目前為止大多未受到關注,但是我們希望它能迅速獲得業內人士與整體法令遵循體系的認可。值得注意的是,ISO 27552 能成為符合多項隱私法規的單一控制標準,而不僅僅只是符合 GDPR。
ISO 27552 跨出歐盟
此新標準的一個關鍵面向是,它將獲得全球認可,這對於吸引歐盟以外的服務提供者具有重要意義。
例如:如果一家企業將資料轉移到該地區之外(可能簡單地如同在網站上使用 Google Analytics 一般),就會引發資料保護問題,並受到 GDPR 規範的限制。為了符合GDPR的規範,企業通常須採取緩和措施,以證明資料轉移的合理性—在公司內部資料移轉的情況下,可透過所謂的標準契約條款(Standard Contractual Clauses, SCC)或拘束性公司規章(Binding Corporate Rules, BCRs)進行,但這些都是既繁瑣又複雜而難以達成協議。
而 ISO 27552 將消除對此類協議的需求,因此認證可作為一種新的、更輕鬆的工具,以證明企業集團內部或外部的國際資料傳輸之合理性。
ISO 27552 不僅將成為有助於證明企業問責性的國際標準,而且還將有助於對主管機關的裁罰提出抗辯。因為企業將能夠利用它來證明其符合 GDPR 的要求(但有一些例外,人為錯誤總是無可避免的)。
我們永遠不可能獲得完整的GDPR認證
最終,儘管 ISO 27552 向前邁出重要的一步,但因為 GDPR 是一項複雜而嚴格的法規,新標準仍無法涵蓋某些方面。以 GDPR 的資料可攜權為例,它規定將資料從一個組織傳輸到另一組織(例如從 Facebook 傳輸到另一社群媒體提供商)的權利。
資料可攜權,是 GDPR 中相當重要的資料當事人權利之一,但由於各國之間的法律文化差異太大,因此很難設想一個全球標準。例如:與其他國家相比,美國在隱私和資料保護方面並不出色。
GDPR領域不斷改變
GDPR 既可以保護個人資料,又可以確保整個歐盟內的資料以及商品與服務的自由流通。
英國脫歐造成了一個令人關注的現象—英國相對於歐盟將成為第三國,也將不再從上述的自由流通中受益,這意味著它將需要採行一些緩和措施。至少從資料的角度來看,ISO 27552 可以成為英國企業保持運作的工具。
這說明了認證的重要性,它可在瞬息萬變的國際環境中提供一定的確定性和穩定性。
自 GDPR 實施一年以來,主管機關的裁罰變得更加積極。而 ISO 27552 認證,至少將證明企業已遵循相當部分的法規,並且可幫助企業證明其問責性,更可以在面臨罰款之時成為進行抗辯的要素。
Peter Katko將於即將到來的英國標準協會(BSI)活動「隱私—提高標準」中主持一個座談會,活動將於 2019 年 6 月 25 日舉行,地點為The British Academy, Carlton House Terrace, St James’s, London SW1Y 5AH。
