歐盟的《通用數據保障條例》(簡稱 GDPR)於今年 5 月 25 日正式實施,本地企業若違反 GDPR,最高罰款可達 2,000 萬歐元(逾 1 億 8 千 7 百萬港元)或企業全球年度總營業額的 4%,以高者為準。
若企業未能符合 GDPR 要求,便要停止支援歐盟用戶,並移除所有歐盟用戶資料。不少本地企業的業務已全球化,而歐盟更是香港第二大商品貿易伙伴,「重典」適用於在歐盟以外的法域區,企業只要有記錄及監控歐盟居民的活動資料,便須遵守此新規則。故此,GDPR 這個「重典」,一定會影響不少本地企業的營運。
用「重典」的趨勢,可說是全球監管機構提升資訊保安的其中一大重要工作。在美國,總統特朗普早於 2017 年簽署網絡安全行政命令,要求美國政府機構利用美國國家標準技術研究所 (NIST) 的《資訊保安框架》(簡稱 NIST CSF),推行數據保護和風險管理。
GDPR 要求資料控制者必須採取「充足措施」,確保資料獲妥善處理,香港企業想減低觸犯 GDPR 風險,可以從四方面著手,審視潛在風險:
- 是否已經制定資料處理政策或措施,例如有否委任保障資料主任;
- 進行資料保障風險評估,例如收集甚麼種類的個人資料;為何收集、使用或披露個人資料;有否過度收集,存放在何處;
- 有否提供足夠培訓,由管理層到前線員工,是否都知悉其保障個人資料的責任及懂得處理涉及個人資料的數據;
- 有否為公司網絡系統做好保護,以防止黑客入侵?例如有否評估公司網站被入侵的風險和如何抵禦?
企業如果想了解 GDPR 條例詳情,可瀏覽歐盟委員會的網頁。企業亦可向生產力局查詢 (itsec_enq@hkpc.org) 如何應對歐盟 GDPR。
作者:黃家偉
生產力局資訊科技部總經理
