Fortinet建议企业组织应做好最终准备,以遵守甫於日前(2018年5月25日)生效的欧盟「一般资料保护规定」(GDPR; General Data Protection Regulation)。该法律保护欧盟所有公民的个人资讯,并藉由罚款、制裁和受害方赔偿来执法。
受GDPR影响的产业必须审查涉及个人身份资讯(PII; Personally Identifiable Information)的所有流程,并评估其组织的因应状况,以符合72小时资料泄露报告的要求。
GDPR适当地兼顾「欧盟公民掌控个人资料」,以及「企业责任」这两方面的权益,能同时在正常营运和资料泄露的情况下保护这些资料。新的欧盟个人资讯重要保护措施,包括明确批准个人资料的使用权,以及「被遗忘权(right to be forgotten)」,让民众可以要求企业组织清除任何有关他们的个人资料。虽然实际身在欧盟区的企业和政府需要遵守GDPR,但也能施行於那些拥有重要欧盟客户或客户群的公司。
尽管期即已到,但大部分服务欧盟市场或需要获取个人身份资讯以进行重大交易的企业,仍未做好充分准备。根据之前安永会计师事务所(Ernst & Young)举办的第三届双年度监识资料分析调查显示,亚太地区只有12%的企业制定了GDPR合规计画。
Fortinet认为,GDPR对民营和公部门如何处理个资有所影响,但某些主要产业会因为个资的处理数量和业务性质,而有更高的曝露风险。这些包括全球营运的电子商务企业,以及为大量来自欧盟的游客、旅客或外籍人士提供服务的公司。
Fortinet列举受GDPR影响的前三大行业包括零售业、医疗保健、金融服务。
零售业━最有可能处理GDPR相关个资的零售业,包括跨境电子商务、零售连锁业、酒店业、旅游和餐饮服务。为欧盟客户提供服务的实体企业,也会发现自己有责任采取GDPR PII的保护措施。使用信用卡或签帐卡来支付、提供送货地址资讯,或是叁与客户忠诚计画,这些都属於GDPR的保护范围。
医疗保健 ━GDPR将其涵盖范围,扩展到储存或处理欧盟人民医疗资讯的非欧盟组织。GDPR为处理特定个资类型的医疗资讯,提供了特别严格的保护和流程。一般而言,只有在需要患者治疗和诊断时,以及在患者明确同意的情况下,医疗单位才可以搜集和处理个人医疗资讯。 GDPR也提及基因资料是一个值得关注的领域。
金融服务━金融机构往往拥有帐户持有者大量的个资,也因为他们消费而不断累积高度的个人行销资料,来支援金融服务的销售,同时评估企业和个人客户的信用状况。
要符合GDPR的规范,企业组织必须重新配置其业务流程和IT架构,并降低PII个资的曝露程度。
Fortinet建议企业采取以下步骤,来符合GDPR的规范:1. 聘请协力厂商评估资料保护措施,以及对GDPR的曝露风险。2.进行全面的资料审计,了解资料的来源、收集和处理。它应包括记录受GDPR影响资料的存储位置、网域内系统间的通讯方式,以及任何外部云端或协力厂商资料保管人。3.确定资料泄漏时侦测和缓解所需的时间,以及为符合GDPR要求而改进这些流程的必要条件。这部分的行动计画还应包括详细的安全评估。
总结而言,遵守GDPR能保护企业组织相关者的隐私和权益。GDPR看起来似??很繁絮,但它迈出了重大的一步,意即恢复公众对「企业能带来社会福祉」的信心,同时遏制社会风险。