盧森堡的歐盟CERT在GDPR 2018實施的當下時, 做了一次合規評估, 認為在為了資訊安全目的所做的網路流量分析中, 也帶有潛藏的個資課題. 因此當時做了一次衝擊分析.確認為了執行資安防禦處理時的流量內, 有可認定為屬於個人資料類型的資訊在內.

其後荷蘭伊拉斯謨斯大學的資訊安全小組與英國ICO (資訊專員辦公室,為英國的個資保護監理機關), 就此課題發展出PECR指引 (隱私與電子通訊指引).

因此歐盟多國使用網路流量資料在人工智慧訓練時, 需要的檢視以確保隱私保護的合法性, 就需要一定的PET (隱私強化技術投入), 差分隱私也是ICO建議的方法之一. 目前已經有四家國際級廠商完成檢視, 這是資訊安全廠商使用A技術跨上國際的必經之路.

在GDPR規範中, 關注此網路流量分析的作業中, 其合規要件是使用網流量的特定目的與同意. 流量分析的保護, 以及流量持有的合法時段與遺忘權. 以確保三要素不被意外洩漏.

1.資料控制者與處理者的的網路安全政策

2.資料主體與資料控制者與處理者的網路路徑可視性(Network Path Visibility),

3.資料控制者與處理者的網路流量分析必須符於GDPR保護要求.

(我個人經驗只有次與趨勢科技的資安單位交流, 其資安長為愛爾蘭籍的安全專家, 有因為歐盟DRA (Digital Resilience Act) 時, 直接和趨勢團隊聊到PECR等需求, 另外就是與Crowdstrike的專家討論到)