歐盟通用資料保護法案 GDPR 將會於今年 5 月 25 日正式生效,任何公司如果需要與歐盟成員國的機構或個人進行生意合作,便必須嚴格遵守相關法規;該法規要求企業必須確保歐盟公民的個人資料和私隱絕對安全,如不遵守相關規定,企業將面臨沉重的代價。
企業將面臨沉重的代價
根據 GDPR 的規定,有關當局可對違反 GDPR 的企業處以 2000 萬歐元的罰款又或者收取該企業每年全球營業額的 4% 作為罰款(以較高者為準)。早前一份由 Ovum 公佈的調查顯示,在美國有高達 52% 的公司認為將會因違規而被罰款;而調查公司 Oliver Wyman 更估計,在 GDPR 生效的第一年,歐盟更可能因此而收取到高達 60 億美元的罰款。
GDPR 有多麻煩及不清晰?
儘管歐盟定下了如此嚴僅的 GDPR 法規,不過卻欠缺清晰的罰款準則!假設 A 公司因為員工疏忽而導致 10000 筆個人資料外洩,而 B 公司則因為駭客入侵而導致相同數量的個人資料外洩時,在這情況下罰款是否一樣?如果不一樣的話,又是根據那種標準去決定罰款?
當然大部份條款都較為清晰的,例如當中指出,GDPR要求企業必須在獲得當事人同意下,才可儲存和處理個人資料,而在獲取這些資料時不可超出工作所需;另外這些資料亦必須能夠從一家公司轉移到另一家公司;而當用戶要求時,公司必須根據要求盡快刪除該筆個人資料。
而 GDPR 亦有規定企業必須作出「合理」的方法去保護歐洲公民的個人資料,但就並沒有清晰說明何謂「合理方法。」
接著就是更為困難的事宜,當資料外洩事件發生後,相關機構需要於 72 小時內向監管當局和受到影響的歐洲公民公佈數據外洩;同時企業亦需進行評估及識別漏洞,並就如何堵塞漏洞以減輕漏洞風險提供可行建議;這一切必須於 72 小時內完成,難度十分高!
企業應如何作好準備?
儘管 GDPR 仍有很多不清晰之處,然而離實施日期愈來愈近,因此企業亦需要做好準備。第一件要了解的就是 GDPR 所指的「資料」其實包括甚麼!簡單來說,以下各點都是 GDPR 所指的「資料」,亦是大家需要保護好的數據:
- 個人身份資料,例如是姓名、地址、身份證號碼等。
- Web 數據,如 GPS 位置、IP、Cookie 和 RFID 標籤。
- 個人健康等相關的醫療數據以及遺傳數據。
- 生物特徵數據,例如指紋數據等。
- 種族或民族資料。
- 政治觀點。
- 性取向。
當大家了解到有那些數據被視為懲罰目標後,下一步就是要:
- 審視企業之中有那些地方儲存了這些數據,並為此而加強防禦措施。
- 檢視各部門,並列出不同部門會處理的數據,從中得知有那些部門會處理到歐洲國民的資料。
- 考慮聘請資料保護專員 DPO,以便全天候監測整家公司在處理客戶資料時的行為,並確保以符合法規的要求去處理個人資料。
- 審視並更新舊有的數據及個人資料私隱保護政策,以符合 GDPR 的要求。
- 使用虛擬桌面方案,並視之為企業預設的流動辦公方式!由於 VDI 等方案,所有資料均直接存取自伺服器之中,並沒有下載到流動裝置內,因此這種做法可以有效確保 BYOD (Bring Your Own Device) 的安全性;又或者可確保在外員工使用流動裝置存取公司資料時的資料安全性。
- 制定 RoPA (Record of Processing Activities) 法規,以確保 GDPR 能正確地執行。通過確切落實 RoPA 將能讓企業得知現時有那些數據正在被使用?甚麼人使用有關數據?以及數據使用的方式?
- 進行演習:由於 GDPR 要求企業在發生資料外洩後的 72 小時內向有關當局提交報告及改善建議,因此我們需要設立應變小組!他們將會定期進行模擬測試,以便了解一旦事故發生時,企業的應變能力以及是否能符合法規要求。
隨著時代改變,未來將會有更多針對資料外洩的法規出現,企業是時候審視一下內部的資安相關設施、政策,只要你做好一切準備,其實面對 GDPR 的實施並不是這麼可怕的!
