歐盟《通用資料保護規則》(GDPR) 即將於 5 月 25 日生效,該法律保護歐盟(EU)所有公民個人數據,並以罰款、制裁和受害方賠償來執法。受 GDPR影響的行業,將需要審查涉及個人數據 (PII) 的所有流程,並評估企業的準備情況,以符合 72 小時數據洩露報告的要求。網絡安全方案供應商 Fortinet 建議亞太區企業應做好準備。
GDPR 即將落實,但大部分於歐盟市場營運或需要獲取個人資料以進行重大交易的亞太地區企業,仍未做足充分準備。根據安永 (EY) 第三屆雙年度安永全球法醫數據分析 (Global Forensic Data Analytics) 調查顯示,亞太地區只有 12% 企業制定了 GDPR 合規計劃。
GDPR 平衡《歐盟公民控制他們的個人數據》與企業責任雙方面的權益,從而在正常的營運過程中以及數據洩露的情況下有效保護數據。新的歐盟個人資料重要保護措施,包括明確批准個人數據使用權以及「被遺忘權」,使民眾可以要求企業清除任何有關他們的個人數據。位於歐盟區的企業和政府將需要遵守 GDPR,但亦有機會要求擁有重要歐盟客戶或客戶的公司落實 GDPR。
亞太企業仍未準備充足 三大行業首當其衝
網絡安全方案供應商 Fortinet 指出,零售業、金融服務及醫療保健將是受 GPDR 影響的首三大行業,並建議亞太區企業做好最後準備。
- 零售業 — 最有可能處理 GDPR 相關 PII 數據的零售業,包括跨境電子商務營運、多個地方的零售連鎖店、招待服務、旅遊和餐飲業務。為歐盟客戶提供服務的實體公司,亦會發現自己有責任採取 GDPR PII 保護措施。使用信用卡或借記卡作付款、提供送貨地址以及參與顧客忠誠計劃,該屬 GDPR 的保護範圍。
- 醫療保健 — GDPR 將其覆蓋範圍,擴展至儲存或處理歐盟人士醫療資料的非歐盟企業。 GDPR 為處理特定類型的 PII 醫療資料,提供特別嚴格的保護和流程。一般而言,只有在需要為病患者治療和診斷時,以及在他們明確同意的情況下,企業才可以收集和處理個人醫療訊息。 GDPR 也提到基因數據是一個值得關注的領域。
- 金融服務 — 金融機構往往持有戶口持有人大量Pll數據。機構消耗並生產大量個人營銷數據,以支持銷售金融服務,以及評估商業和個人客戶的信貸信用。
Fortinet 表示,為 GDPR 做好準備的企業,必須重新調整其業務流程和 IT 架構,以及減少 PII 數據曝光,該公司亦建議亞太地區企業採取以下步驟,以加快 GDPR 合規性:
- 聘請第三方公司來評估數據保護措施以及對 GDPR 規則的曝光程度。
- 進行全面數據審計,了解數據來源,如何收集和處理。當中應該包括紀錄受 GDPR 影響的數據的儲存位置、網域系統之間的通訊方式,以及任何外部雲端或第三方數據保管人。
- 確定數據洩漏檢測和遷移所需的時間,以及為了符合 GDPR 要求而改進這些流程的必要條件。行動計劃的一部分還應該包括詳細的安全評估。
Fortinet香港、澳門及蒙古總經理馮玉明表示,GDPR 會影響私營企業和公共部門如何處理 PII,但某些關鍵行業,由於牽涉本身處理 PII 的數據量以及其業務性質,將會遭受更大影響。 當中包括在國際營運的電子商務企業,以及為大量為歐盟遊客、旅客或外籍人士提供服務的公司。
