隱私政策跟得上數位轉型嗎?

Have Your Privacy Policies Kept Up with Your Digital Transformation
席林.基蘭 Cillian Kieran
瀏覽人數:1112
新冠疫情大流行加速了數位轉型的腳步,讓許多企業在倉促之間進行一連串對策,也引發大量個人資料可能管理不善與洩露的風險。隨著歐洲與美國的相關法規日益嚴格,領導人也應重視隱私管理。本文提出四項相關措施,來避免訴訟與公關危機:注意供應商如何使用顧客資料、進行影響評估、建立簡單明瞭的隱私政策、指派資料保護長。

對世界各地的公司來說,嚴重特殊傳染性新冠肺炎已用幾乎難以想樣的速度,加速了數位轉型。為了生存下來並穩健重啟營運,公司已經迅速採用一些服務,例如零接觸付款、網路下單到店取貨的應用程式等,並加強顧客關係管理。這些轉變對公司的持續營運非常重要,但也分別帶來了新風險。每一家轉換到線上營運的企業,都可能面臨隱私方面的問題,如果管理不善,有可能造成嚴重傷害,而且隨著新法規即將在美國生效,企業是否妥善處理這種轉向,牽涉到遠比以往更大的利害關係。

各行各業中,具有實體世界空間專業知識的團隊,正大量湧入他們不熟悉的數位世界,並且將大筆使用者數據資料納入新系統。在餐飲業,根基穩固的既有業者爭相建立新的線上訂購與送貨服務基礎設施,或與已經在提供這些服務的公司合作。在高等教育產業,有可能錯失一整年學費的教育機構,正迅速將全部課程移至線上,並急著將所有東西數位化,從線上教學到學生健康紀錄都包括在內。在現場活動領域,資深製作人被要求將行之有年的流程,轉移到網路與雲端技術上。在前述每一種情況中,這些變動都隱含了風險,大量個人資料可能管理不善與容易洩露。

這種情況為許多企業帶來兩項重大挑戰:首先,他們必須迅速做出採購新技術的決定:建立線上店面、設置處理顧客個人資料的通訊平台等等。其次,他們欠缺打造資料處理基礎設施的經驗,或甚至不了解所有的技術。這些情況加起來,造成團隊必須快速決定如何運用他們不太熟悉的技術。因此可能出現一種可理解的情況,那就是企業會很想要把隱私疑慮當成次要議題,也就是可以等到眼前的危機過後再來解決;但這會是錯誤做法,可能讓公司有極高風險面臨罰款、集體訴訟與公關麻煩。

大西洋兩岸的法規壓力日益沉重。歐洲的「一般資料保護法規」(General Data Protection Regulation,GDPR)於2018年5月生效,而美國的「加州消費者隱私法案」(California Consumer Privacy Act,CCPA)在今年7月1日生效(會影響到任何在加州設點且年營收超過2,500萬美元的公司),這些法規涵蓋了針對使用者資料管理的嚴格規定,並且都對不當處理資料的企業祭出高額罰款。特別是在美國,不太有理由認為法規監管機關會因為疫情而大幅放寬標準。加州檢察總長哈維.貝賽拉(Xavier Becerra)表明了推動落實CCPA的決心,他聲明:「我們致力在7月1日開始執行這項法律。我們鼓勵企業在這段緊急時期特別注意資料安全。」

將一大部分事業移到線上已是艱巨的工程,令人欣慰的是,管理隱私問題不見得是另一項累人的工作。你可以採取一些簡單、有意義的措施,將隱私外洩的風險降到最低。你如果想在未來幾個月內,以盡可能保持合理安全性的方式迅速進行數位轉型,不妨考慮實施這些隱私相關的措施。以下每項措施都能單獨完成,但你的企業若完成全部四項,就能大幅降低隱私風險:

1. 注意你的供應商與合作伙伴如何使用顧客資料

企業有些第三方供應商承諾提供「隨裝即用」解決方案,以處理數位轉型的許多挑戰,公司可能急著想與他們簽約。公司也許知道,在採購時必須仔細審閱「資料處理協議」(Data Processing Agreement,DPA),但他們往往會低估省略這項步驟的後果。在CCPA與GDPR的規定下,企業若沒有對負責處理顧客資料的第三方進行必要調查,就可能要承擔罰款;其實,就是因為這個原因,2019年萬豪酒店集團(Marriott Hotel Group)被英國資訊專員辦公室(Information Commissioner's Office,ICO)罰了1.23億美元。

當你在審閱供應商的PDA時,關注重點應該是確保他們符合隱私法規,而且他們的資料政策與你公司聲明的資料政策相符,否則,公司就會冒著違反自己隱私政策的風險。此外,請檢查每家供應商的PDA中與轉包商相關的措辭。應該要確保供應商不會再轉包給其他資料處理商,除非你的公司明確指示它們這麼做。如果供應商單方面將處理資料的責任交給不符相關法規的第三方,這個步驟就能確保你的公司受到法律保護。

2. 處理資料時,進行影響評估以監控風險

GDPR在許多情形下都要求企業必須為資料處理進行影響評估,但CCPA沒有這項規定。然而在這段極度動盪的時期,針對資料活動實施基本的風險評估(雖然很繁瑣),能迫使企業先認真思考,然後才做出有關資料儲存、外包等可能造成傷害的決策。此外,在被指控侵犯隱私時,有一份紀錄顯示公司曾採取主動的行動來降低風險,面對法規監管機構時比較有利。

英國的資訊專員辦公室提供了免費的資料保護影響評估範本,無論你公司總部是否設在英國,都能讓你以正確的方法準確評估隱私風險。

3. 力求隱私政策清楚易懂

當重要利害關係人在CCPA實施之前重新評估隱私政策時,請仔細斟酌這份文件是否易讀。你的目標是讓你所有的顧客都能理解這項政策,而不只是熟悉法律用語的人能讀懂。你也許會認為,納入保有許多解釋空間的詞彙,以應付未來的任何法規要求,如此就能保護自己,但你的優先要務,應該是協助你那些愈來愈重視隱私的顧客了解你的政策,並信任你的公司。Slack的隱私政策就顯示公司不用捨棄易讀性,也能制定完整涵蓋所有方面的政策。

4. 指派一位資料保護長(DPO)

無論企業規模,資料決策的職責更適合集中管理,而非分派給各部門。在迅速變化的時期更是如此。資料保護長能扮演公司內處理隱私問題的集中焦點,而且在隱私法規的執法特性尚不明確時,資料保護長也能當作公司面對監管機關的重要聯絡人。即使這位人選缺乏隱私相關經驗,授權單一個人專注處理隱私問題,仍是又快又省錢的降低風險做法。

如文章一開始所說,要妥善管理迅速的數位轉型行動,可能必須採取冒險的行動。但依目前的情勢,如果企業可以採取簡單、流程驅動的步驟來改善隱私安全,那麼仰賴法規的慷慨幫助就是不必要的風險。

資料隱私相關措施,展現出經濟學家所謂「時間不一致性(time inconsistency)」兩難的許多特性,這種兩難是指,在為時已晚之前行動,都是為時過早。就如我們過去幾週所見,在企業的重要關頭時刻,「為時已晚」可能是很嚴重的錯誤。

(游樂融譯)



席林.基蘭 Cillian Kieran

隱私安全公司Ethyca執行長與創辦人。他擁有軟體工程背景,有二十多年為企業領導推動大規模數據資料計畫的經驗,這些企業包括海尼根(Heineken)、索尼(Sony)、戴爾(Dell)與百事(Pepsi)等,這些經驗使他確信,有更好的方法能將隱私安全深植於大型科技系統之中。現在,Ethyca為Away,Slice和AspireIQ等全球品牌提供隱私安全服務。


本篇文章主題安全與隱私