全方位整合與自動化網路安全廠商 Fortinet,建議企業組織做好最終準備,以遵守甫於日前(2018 年 5 月 25 日)生效的歐盟「一般資料保護規定」(General Data Protection Regulation,GDPR)。該法律保護歐盟所有公民的個人資訊,並藉由罰款、制裁和受害方賠償來執法。受 GDPR 影響的產業必須審查涉及個人身分資訊(Personally Identifiable Information,PII)的所有流程,並評估其組織的因應狀況,以符合 72 小時資料洩露報告的要求。
GDPR 適當地兼顧「歐盟公民掌控個人資料」,以及「企業責任」這兩方面的權益,能同時在正常營運和資料洩露的情況下保護這些資料。新的歐盟個人資訊重要保護措施,包括明確批准個人資料的使用權,以及「被遺忘權(right to be forgotten)」,讓民眾可以要求企業組織清除任何有關他們的個人資料。雖然實際身在歐盟區的企業和政府需要遵守 GDPR,但也能施行於那些擁有重要歐盟客戶或客戶群的公司。
儘管期即已到,但大部分服務歐盟市場或需要獲取個人身分資訊以進行重大交易的企業,仍未做好充分準備。根據之前安永會計師事務所(Ernst & Young)舉辦的第三屆雙年度鑑識資料分析調查顯示,亞太地區只有 12% 的企業制定了 GDPR 合規計畫。
Fortinet 認為,GDPR 對民營和公部門如何處理個資有所影響,但某些主要產業會因為個資的處理數量和業務性質,而有更高的曝露風險。這些包括全球營運的電子商務企業,以及為大量來自歐盟的遊客、旅客或外籍人士提供服務的公司。
Fortinet 列舉受 GDPR 影響的前三大行業:
- 零售業:最有可能處理 GDPR 相關個資的零售業,包括跨境電子商務、零售連鎖業、酒店業、旅遊和餐飲服務。為歐盟客戶提供服務的實體企業,也會發現自己有責任採取 GDPR PII 的保護措施。使用信用卡或簽帳卡來支付、提供送貨地址資訊,或是參與客戶忠誠計畫,這些都屬於 GDPR 的保護範圍。
- 醫療保健:GDPR 將其涵蓋範圍,擴展到儲存或處理歐盟人民醫療資訊的非歐盟組織。GDPR 為處理特定個資類型的醫療資訊,提供了特別嚴格的保護和流程。一般而言,只有在需要患者治療和診斷時,以及在患者明確同意的情況下,醫療單位才可以蒐集和處理個人醫療資訊。GDPR 也提及基因資料是一個值得關注的領域。
- 金融服務:金融機構往往擁有帳戶持有者大量的個資,也因為他們消費而不斷累積高度的個人行銷資料,來支援金融服務的銷售,同時評估企業和個人客戶的信用狀況。
要符合 GDPR 的規範,企業組織必須重新配置其業務流程和 IT 架構,並降低 PII 個資的曝露程度。Fortinet 建議企業採取以下步驟,來符合 GDPR 的規範:
- 聘請協力廠商評估資料保護措施,以及對 GDPR 的曝露風險。
- 進行全面的資料審計,了解資料的來源、收集和處理。它應包括記錄受 GDPR 影響資料的儲存位置、網域內系統間的通訊方式,以及任何外部雲端或協力廠商資料保管人。
- 確定資料洩漏時偵測和緩解所需的時間,以及為符合 GDPR 要求而改進這些流程的必要條件。這部分的行動計畫還應包括詳細的安全評估。
總結而言,遵守 GDPR 能保護企業組織相關者的隱私和權益。GDPR 看起來似乎很繁瑣,但它邁出了重大的一步,意即恢復大眾對「企業能帶來社會福祉」的信心,同時遏制社會風險。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
