過去數年,企業儲存或處理個人資料導致外洩的個案有急速上升的趨勢,單是2016年Yahoo已經打破紀錄,高達5億個記錄被盜,但是這並非是紀錄保持者,因為一宗涉及River City Media的資料外涉個案,就令13億700萬個電郵地址流入不法份子手中。
歐盟推GDPR保護國民
在一次資料外洩的意外可能會牽涉數以千萬計人的年代,保護個人資料在世界各國成為了熱門的話題,同時引起政客對數據私隱和安全問題的興趣,部份政府機構也確實地開始行動,例如歐盟就推出「一般數據保護條例」(General Data Protection Regulation),在12個月內,在歐盟內進行商業活動的企業都必需要遵守此新的資料私隱條例。
GDPR的出現,目的是統一歐洲的數據保護法規,並為歐盟內部及其他歐洲成員國或全球商業伙伴訂定合規義務,改善個人資料的處理和儲存,以免資料被誤用。
GDPR簡介
GDPR依照歐盟數據保護指令,改良對個人資料的模糊定義並加入更多入容。根據來年即將來臨的改變,例如IP地址、基因、精神、文化、經濟和社交資料,都會被視作個人資料,甚至暱稱或假名也包含在內,因為可以從組織中分辨個別人士,客戶名稱、電話、地址、供應紀錄的員工紀錄都被定義到該條例之內。
GDPR定義了提高數據管理和管理透明度的措施,要求更嚴格的用戶條款,用戶將可以隨時撤銷他們過往同意的決定,另外,用戶有權查詢個人資料的處理、用途和目的的資料,也可以向持有自己個人資料的機構要求從伺服器內刪除。
數據保護的程序必需要從新系統的設計的階段便加入,機構的核心活動如果需要處理大量個人資料,將需要一位專人負責資料保護,目的是降低資料外洩的情況,如果一旦發生資料外洩,機構有義務在72個小時之內進行報告。
如果企業無法符合這些法規將會面臨罰款,最高可達「全球收入的4%」或最高2000萬歐元,以較高一方為準。所以即使是全球性公司在歐洲沒有實理存在,法規同樣覆蓋所有他們控制的歐洲居民,不論過程是否在歐盟地區之內。
GDPR的出爐,受影響的並不局限於IT相關的行業及職位,HR、Sales and Marketing、Legal、Finance and Accounting都同相受到波及,無論對一般市民以至企業及員工而言,都是前所未見的轉變。
