百货业也要因应GDPR，台北101全组织导入新版BS10012落实欧盟个资法遵

台北101是台湾重要的观光据点，光是101的观景台，每年有超过260万人次的观光客拜访，而101大楼楼下的精品百货公司，更是全球重要精品品牌汇聚的重镇，国际旅客退税资料中，更有不少是欧盟公民的个资。在面对即将于今年5月25日正式实施的GDPR（欧盟通用资料保护规则），如何保护这些欧盟公民个资也成为台北101的新挑战。

取得新版BS10012认证，率先符合GDPR个资保护作法规范

因此，台北101总经理陈世明表示，该公司在2015年已经取得BS10012：2009个资保护认证，并在2017年将原本个资保护认证的范围，扩展到全组织，包含101的商场、观景台等业务单位的个资使用，全都纳入认证的范围。“台北101也是台湾第一间，以全公司为BS10012个资保护认证范围的精品百货业者，同时将旅客、消费者以及台北101大楼企业租户在内的1.2万名员工的个资等，也都一并纳入个资保护的范围。”她说。

新版的BS10012：2017改版的时候，同时面临欧盟最严格个资法GDPR（欧盟通用资料保护规则）即将于今年5月25日正式实施的时间点，因此，在选择如何保护欧盟公民个资的作法时，台北101便选择，即便在2017年已经因为将个资保护认证扩大到全公司，在不到一年的时间，为了因应GDPR保护欧盟公民个资，更选择申请认证新版BS10012：2017，作为因应之道。

辅导台北101取得BS10012：2017新版个资认证的安侯建业（KPMG）执行副总谢昀泽表示，许多企业在取得BS10012认证时，都会以资讯部门作为主要的认证范围，但台北101花了3年时间，将个资保护的认证范围，拓展到每一个业务单位，也意味着，只要是台北101每个部门所搜集、处理和利用到的各种个资，都在个资保护认证的范围之内，相关的个资资讯流也都有迹可循。

负责验证的台湾BSI总经理蒲树盛指出，台北101有许多外国客户，在提供相关退税服务时，一定会搜集、处理和利用许多外国客户的个人资料，透过一套完善的个资保护制度，并深化到台北101的作业流程中，个资保护才能真正落实。他强调，目前台湾许多在欧洲设立分公司的台湾总部正在积极因应GDPR外，还有其他包括航空业和高科技制造业，也都在这一波必须积极因应的行业名单中。

去识别化确保自动剖析不用到真实个资，首度指派法务主管担任DPO

陈世明指出，台北101很早就开始利用大数据进行各种资料分析，并且也会将分析结果应用到各种行销、商品摆设以及来店礼、满额礼的实际应用上。只不过，在新版GDPR的规范中，有特别强调，个资当事人有权反对被系统自动剖析（Profiling）、被纳入资料分析的权力。

陈世明表示，早在因应台湾个资法的规范时，对于用来数据分析的资料，就已经先做到个资去识别化，以确保客户的个资保护与使用安全，而未来，面对规范更严格的GDPR规范，她强调，台北101不只会事先进行完整的个资去识别化，也会同时进行去识别化的风险评估，包括数据库系统都有相关的配套设计，目的就是要确保，台北101在进行相关的大数据分析时，不会使用到个资当事人的真实资料。

在GDPR的规范中，也特别要求必须要指定DPO（Data Protection Officer，资料保护官）一职，陈世明说，由于个资保护认证BS10012主要负责的单位是台北101法务室，更指派法务主管负责该功能职掌，未来只要是涉及欧洲民众个资的搜集、处理和利用等，都会有相对应的窗口负责。文⊙黄彦棻