資安無知

 

2018年歐盟個人資料保護法令 GDPR 正式公布實施時,我剛好擔任國家高速計算與網路中心副主任兼資安長,看到全球營業額的4%以及兩千萬歐元的罰則,就知道這件事情是玩真的,不像個資法那樣可以簡單應付。

首先我發現國家高速計算與網路中心有不少歐盟科學家的帳號,真的讓我嚇得半死,我相信很多跨國企業如果有歐盟居民的資料,尤其銀行絕對膽戰心驚。

要符合法令目的的條件才可以收集資料,不能轉做他用,尤其個人資料必須準確無誤。舉凡所收集或處理的個人資料,皆須「準確無誤,且必須酌情保持更新。」GDPR 進一步規定以資料處理目的為前提,「必須在合理範圍內盡一切可能立即刪除或更正不準確的個人資料,不得延誤」。

這究竟是什麼意思?簡而言之:您不能保留無用資料,而且有責任確保資料的準確度與時效性。

若需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,要有保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

這不是什麼新的東西,台北市任何一間國際性的企業或銀行絕對有過這樣子的經驗,這可不是隨隨便便的事情,而且是在三、四年前就已經發生過的資訊安全大地震。

台北通app收集了不少歐盟居民的個人資料,這個東西是非常非常麻煩,學校的承辦員、圖書館的辦事員,系統儲存、傳輸設備資訊安全防護,全部都要合乎GDPR的規定。

當初我就跟我們主任講可不可以請這些歐盟使用者通通不要使用我們的服務?當然這是不可能的事情!

處理歐盟居民的資料,承擔的責任有夠重大,而且真的非常非常麻煩。最簡單來說,你用他在讀書館填的資料通知他來參加市府外國人聯歡大會,就已經違背了資料使用的目的。

聽阿伯的話就沒事?他根本不知道很多三、四年前的規定,還以為大家都像中國那樣處理事情。美國現在也在制定美國版的GDPR,世界並沒有像自稱高智商的人想得那麼簡單!

< 資料來源:李忠憲facebook引用網址 >
分享文章:

作者 李忠憲

李忠憲
留學德國、研究資安、熱愛跑步、喜歡哲學。 曾任成功大學計算機與網路中心副主任、台灣教授協會科技組召集人。 寫臉書當筆記喜歡德國文化不愛爭辯,「很多事情是價值選擇的問題, 而沒有對錯」!

最新文章: