近日不少人上網收到更新私隱條款通知,及企業要求同意繼續接收郵件的查詢,全因歐盟《一般資料保護規則》(General Data Protection Regulation,GDPR)於上月25日起實施。新例影響所有儲存、處理歐盟公民個人資料的企業,就算沒有與歐盟成員國有直接生意來往,也有機會誤墮法網。
GDPR要求任何在歐盟成員國營運的企業,需取得用戶同意,才可收集使用他們的個人資料,民眾亦可隨時要求收集單位刪除。安永大中華區網絡安全合夥人阮褀康提醒,就算在歐盟沒設辦事處,但有透過網上銷售貨物到當地也受影響:「舉例有廠家製造物聯網產品,也有可能接觸、收集歐盟公民的個人資料。」惟不少亞洲企業未必察覺受影響。在AIG任職Head of Financial Lines for International Markets的Jason Kelly表示,有日本銀行以為業務集中在國內應不受影響,進行數據分析後發現原來有為在日歐盟的公民服務。
吸引歐盟公民消費 較高機會影響
甚麼行業較高機會受GDPR影響?阮指有網頁、App能吸引歐盟公民消費的企業也會受影響,貿易公司、旅遊公司、金融企業以及一些為企業提供外判市務、人力資源管理、研究調查、數碼服務的公司的風險較高。Jason Kelly補充歐盟有28個成員國,各國公民出遊時,可能拿着旅遊書到小店光顧,若小店有留下其信用卡或個人資料,也要遵守GDPR規定。
企業想避免誤墮法網,最佳方法是做好源頭管理,先審視自家收集、儲存及管理甚麼數據資料,同時了解在GDPR下對數據資料管理的義務與責任,繼而落實保護方式,最後需要持續去做,並進行跨部門合作及培訓。Jason Kelly舉例若一名員工不小心在的士遺下儲有歐盟公民資料的手提電腦,也算是資料洩露,若員工意識不足,可能錯過通報限期,累公司受罰。
做好資料管理 化條例為優勢
《財富》500強企業平均要花1,600萬美元,確保公司符合新法例,包括增聘專責人手。企業宜花時間、資源,預先制定數據保護及應對洩露資料的計劃。專為企業提供數據管理的Veeam,其產品策略部副總裁Danny Allan提醒,企業若能遵守新條例要求做好資料管理,反是向客戶展示資料安全好方式,反變成競爭優勢。
72小時報告外洩 違者罰$1.8億
隨着科技進步,數據變成重要「財富」,過去對資料保護的法例已不足夠,GDPR主要是取代1995年的《數據保護指令》,強制要求企業一旦發生資料外洩,必須在發現後72小時內報告歐洲資料保護機構,違者最高可罰2,000萬歐元(約1.8億港元)或公司全球營業額的4%,以較高者為準。
GDPR列明每人都擁被遺忘權、數據可攜帶權和刪除權等。六大原則包括目的性、公開透明性、正確性、最低性、機密性、儲存限制性來規範個人資料的使用。姓名、證件號碼、地址和IP地址外,將反映種族、宗教信仰、性取向的資料都納入個人資料保障範圍。
編輯:吳浩南
美術:簡力斯