更多

    【25/5 GDPR生效】企業要做足保護個人資料措施

    歐盟將於本月 25 日實施最新修訂的「一般資料保護規例」(General Data Protection Regulation,GDPR),加強保護個人資料及應付近年雲端、物聯網及大數據等資訊科技發展所衍生的私隱問題。此新例適用於全球範圍,位於歐盟境外的企業若擁有屬於歐盟公民的客戶,都必須遵循法例,否則面臨巨額罰款。

    雖然此規例即將生效,但大部分於歐盟市場營運或需要獲取個人資料作重要交易的亞太地區企業,仍未做足充分準備。根據安永(EY)第三屆雙年度安永全球法醫數據分析(Global Forensic Data Analytics)調查顯示,亞太地區只有12%企業制定了 GDPR 合規計畫。

    Fortinet 香港、澳門及蒙古總經理馮玉明表示,GDPR 會影響私營企業和公共部門如何處理個人數據,但某些關鍵行業,由於本身處理太多個人數據,將受更大影響。當中包括在國際營運的電子商務企業及為大量為歐盟遊客、旅客或外籍人士提供服務的公司。

    零售、醫療、金融最多資料

    她列舉零售、醫療保健及金融服務為首三大最受GDPR影響的行業。零售包括跨境電子商務營運、零售連鎖店、招待服務、旅遊和餐飲業務。就算是使用信用卡或借記卡付款、提供送貨地址及參與顧客忠誠計畫,該屬 GDPR 的保護範圍。醫療保健則必需得到病人同意的情況下,企業才可以收集和處理個人醫療訊息。至於金融服務大多會有大量個人營銷數據,以及評估商業和個人客戶的信貸信用資料。

    為 GDPR 做好準備的企業,必須重新調整其業務流程和 IT 架構,避免客戶的個人資料曝光。她建議亞太地區企業應採取以下步驟,加快符合 GDPR 規例:

    1. 聘請第三方公司評估數據保護措施。

    2. 實行全面數據審計,了解數據來源,如何收集和處理。當中應該包括記錄受 GDPR 影響數據的儲存位置、網域系統之間的通訊方式,以及任何外部雲端或第三方數據托管人。

    3. 確定數據洩漏檢測和遷移所需的時間,以及為了符合 GDPR 要求而改進這些流程的必要條件。

    Veeam 則在以上三點外提醒企業要有持續的監測和審核數據保護流程,這有助企業審查和改進。隨著企業對保護數據私隱的責任不斷增加,企業必須確保數據的可用性、質素及安全性,不斷地改進以確保合規性。

    雖然 GDPR 的罰則很重,但也為數碼世界帶來新氣象,而數據亦成為這個年代最珍貴的資產,企業應該視這為一個機會,重新檢視整個數據保護及儲存方式,與世界同共前進。

    您會感興趣的內容

    相關文章