芋傳媒 TaroNews - 台灣觀點.芋見真相

《李忠憲專欄》資安無知

北市府推員工證綁台北通實名制惹議。圖片來源:中央社

2018 年歐盟個人資料保護法令 GDPR 正式公布實施時,我剛好擔任國家高速計算與網路中心副主任兼資安長,看到全球營業額的 4% 以及兩千萬歐元的罰則,就知道這件事情是玩真的,不像個資法那樣可以簡單應付。

首先我發現國家高速計算與網路中心有不少歐盟科學家的帳號,真的讓我嚇得半死,我相信很多跨國企業如果有歐盟居民的資料,尤其銀行絕對膽戰心驚。

要符合法令目的的條件才可以收集資料,不能轉做他用,尤其個人資料必須準確無誤。舉凡所收集或處理的個人資料,皆須「準確無誤,且必須酌情保持更新。」GDPR 進一步規定以資料處理目的為前提,「必須在合理範圍內盡一切可能立即刪除或更正不準確的個人資料,不得延誤」。

這究竟是什麼意思?簡而言之:您不能保留無用資料,而且有責任確保資料的準確度與時效性。

若需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,要有保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

這不是什麼新的東西,台北市任何一間國際性的企業或銀行絕對有過這樣子的經驗,這可不是隨隨便便的事情,而且是在三、四年前就已經發生過的資訊安全大地震。

台北通 app 收集了不少歐盟居民的個人資料,這個東西是非常非常麻煩,學校的承辦員、圖書館的辦事員,系統儲存、傳輸設備資訊安全防護,全部都要合乎 GDPR 的規定。

當初我就跟我們主任講可不可以請這些歐盟使用者通通不要使用我們的服務?當然這是不可能的事情!

處理歐盟居民的資料,承擔的責任有夠重大,而且真的非常非常麻煩。最簡單來說,你用他在讀書館填的資料通知他來參加市府外國人聯歡大會,就已經違背了資料使用的目的。

聽阿伯的話就沒事?他根本不知道很多三、四年前的規定,還以為大家都像中國那樣處理事情。美國現在也在制定美國版的 GDPR,世界並沒有像自稱高智商的人想得那麼簡單!

台北市議員許淑華日前揭露,資訊局109年斥資新台幣千萬元成立大數據中心,今年又花2850萬元擴增規模,且已透過台北通實聯制取得近5000萬筆個資。
圖片來源:中央社

原文出自李忠憲臉書,芋傳媒經授權轉載。

邀請您加入「芋傳媒」的粉絲專頁
邀請您加入「芋生活」的粉絲專頁
我知道了

評論被關閉。