湛揚部落格

2018-07-16
歐盟一般資料保護規則
了解資料保護需求以及如何遵守。
 
自 1995 年,上一次通過關於資料保護的主要歐洲法律 (資料保護指令 95/46 / EC) 以來,發生了翻天覆地的變化。例如,行動裝置無所不在,一次攜帶兩個甚至三個行動裝置的情況並不罕見。同時,敏感的公司資料即將超出傳統企業安全邊界的安全範圍。員工可透過電子郵件傳送文件給自己、存取個人智慧型手機和平板電腦中的資料,並將資料儲存在雲端。現今,主要的個人資料外洩事件司空見慣,使客戶面臨身分識別竊取和財務損失的風險,同時企業也面臨失去客戶和投資者忠誠度的風險以及監管機構罰款。本白皮書討論一般資料保護規則 (GDPR) 對於全球組織的意義。
 
為什麼需要變更?
與美國大多數州一樣,歐盟 (EU) 的所有國家都實施了資料保護法,以反映網路邊界瓦解的這個新的現實。 歐洲資料保護規則如同美國各州之間的差異般,目前因國家而異。 在一段時間內,歐盟資料保護規則並沒有重大改變; 再加上自 1995 年以來因應重大技術發展的需求,推動了歐盟資料規則的現代化和統一化。1
 
GDPR 是歐盟多年來將資料保護規則改革為跨整個歐盟架構的成果,而不是拼湊各國專屬的法律而成 (GDPR 確實允許針對某些地區部分廢止或放寬規範,例如同意提交個人資料的年齡)。GDPR 採用規則的形式,意味通過後直接適用於每個成員國。成員國先前的資料保護法規,都是源自於每個國家靈活運用於其國家法律體系的規則,因此導致各國之間出現差異。此規則旨在加強歐盟公民的隱私權、恢復對線上活動的信心,並透過要求公司採用新的資料保護流程和管制措施,更妥善地保護客戶資料。
 
此規則於 2016 年 5 月 24 日正式生效,自此之後,各國實施新規定的限期長達兩年。2 然而,這是實施變更的上限,荷蘭等國選擇在更早更新其資料保護法。
 
該內文由 99 條條文3組成,而且如同任何法條般,可能令人困惑不解。本白皮書的目的不是教育讀者了解整個法律,而是著重在保護個人資料安全的需求,而且這會被科以最嚴重的罰款。若要深入了解此規則,請瀏覽本文件附錄列出的資源。
 
歐盟 (EU) 是涵蓋歐洲大陸大部分地區的 28 個歐洲國家之間獨特的經濟和政治夥伴關係。雖然每個國家都有自己的文化和法律,但歐盟國家在許多領域也會整合經濟、政治和法律。歐盟背後的基本原理是避免成員國之間進一步的衝突,並加強歐盟貿易以及貨物和人員的自由流動。
部分廢止是法律的免除或部分放寬。
 
改革的核心要件
 
在本節中,我們擷取了一些與保持個人資料安全相關的重要文章,以及違規時可能產生的後果。
 
第 32 條3說明處理資料的安全:
 
1.考慮到最新技術、實施成本與處理的性質、範圍、背景和目的,以及自然人權利和自由的可能性和嚴重性的不同風險,控管者和處理者應該實施適當的技術和組織措施,以確保風險相應的安全等級,包括:
 
(a) 個人資料的假名化和加密;
(b) 能夠確保處理個人資料的處理系統和服務持續的機密性、完整性、可得性和靈活性;
(c) 能夠在發生實體或技術事件時及時恢復個人資料的可得性和存取權;
(d) 定期測試、確定和評估技術與組織措施的有效性,以確保處理之安全性的流程。
 
簡而言之,本文要求組織實施適當的安全措施來保護個人資料。本文特別提到「個人資料加密」是實現此目的的手段之一。
 
本文還提到「能夠確保處理個人資料的處理系統和服務持續的機密性、完整性、可得性和靈活性」。關於加密技術,這意味著除了加密資料之外,還有一個強大的金鑰管理程序。更廣泛的含意就是制定完善的災難復原計劃。
 
如果發生個人資料外洩,第 33 條3規定公司必須在意識到違規行為發生後 72 小時內通知監察機關。但是,公司不一定需要通知資料遭到外洩的個人。第 34 條3敘述:
1.當個人資料外洩可能導致自然人的權利和自由處於高風險時,控管者應該將個人資料外洩傳達給資料主體,不得有不當延誤。
2. (...)
 
3.如果符合下列任何條件,則不需要傳達給第 1 款提及的資料主體:
(a) 控管者實施適當的技術和組織保護措施,並將這些措施應用在受到個人資料外洩影響的個人資料上,特別是應用在當資料落入未獲存取授權的任何人手上,會變得難以理解(如加密);
(b) 控管者採取了後續措施,確保第 1 款所述資料主體的權利和自由的高風險不可能實現;或
(c) 這將涉及不成比例的努力。在這種情況下,應該採取公開傳達或類似的措施, 以同樣有效的方式通知資料主體。
 
資料保護計畫術語
 
Personal data個人資料 是能夠直接或間接識別個人的任何資訊。這可能與個人的私人、職業或公眾生活有關。它可能是一個名字、一張相片、一個電子郵件地址、銀行詳細資料、他/ 她在社交網路上的貼文、醫療資訊或他/她電腦的 IP 位址。
 
Data controllers資料控管者 決定處理個人資料的條件、目的和手段。資料控管者可能是個人、企業、公司或公家機關。
 
個人的範例包括保有其患者、客戶和選民資料的醫生、藥劑師和政治家。
 
Data processors資料處理者 根據資料控管者的權限處理個人資料,但不負責決定處理的條件、目的和手段 (外包商)。
 
例如,薪資管理公司和市場研究公司可能會代表他人 (例如,其他公司或公家機關,在這種情況下,將是資料控管者) 處理個人資料。但是,如果他們決定的條件、目的或行為超出控管者的命令,就會變成該特定處理活動的控管者。根據新的規則,處理者具備直接的義務,例如符合安全要求。
 
Data subject資料主體 個人資料用於識別自然人。這個人就是「資料主體」。2
 
如果損失的個人資料是以無法理解的方式 (因此對未授權方而言是無用的,例如透過加密方式) 受到保護,而且公司可以向監察機關證明這一點,則公司無需向個人資料遺失或遭竊的個人披露違規行為。
 
如果公司無法採用內部政策並實施適當的措施來確保並證明合規性,或者在適當的情況下無法通知監察機構或資料主體發生個人資料外洩的情形,則
 
行政罰鍰的第 83 條3規定了可能的最大制裁為:
1. 根據第 2a 款,違反以下規定的行為將受到高達 2,000 萬歐元的行政罰鍰,或若是企業,最高可罰款一個會計年度全球年營業額的 4%,以較高者為準。
 
總結:如果您沒有採用適當的技術來保護個人資料,則可能需要直接向監察機構支付罰款, 並間接損害名譽,商譽和客戶的信任。但是,加密其資料的公司可保護客戶以及自身。
 
執法
 
GDPR 大大地增強了強制執行的權力。新的最高罰款為 2,000 萬歐元,或全球年營業額的 4 %,相較於之前可以執行的最高罰款,大為增加。例如在英國,資訊專員辦公室只能科以最高 500,000 英鎊的罰鍰。也就是說,違規的後果變得更加嚴重。
 
誰會受到 GDPR 的影響?
 
GDPR 應該關係到全球利益,因為不管公司在哪裡,它都會影響與歐洲公民開展業務的任何公司。這與美國的許多資料保護法非常類似。例如,總部設在法國的公司與位於加州的美國客戶開展業務時,必須遵守加州的資料保護法。如果同一家公司也和位於麻省的客戶有業務往來,則同樣必須遵守麻省的資料保護法,以此類推。新立法的一些優點包括:
●一個歐盟市場,一個法律 ─ 歐洲和非歐洲公司不再需要研究並了解 28 個不同規則和條例的細節。
●統一流程 ─ 如果違反和/或違規,將遵循相同的流程。
●同樣的規則適用於所有公司 ─ 無論公司設在哪裡,在歐盟內部開展業務時,將適用同樣的規則。
 
如何遵守 GDPR
 
對於必須遵守新法規的許多公司而言,最好的準備方法就是實施可靠的資料保護策略,防範透過惡意或偶然的方法遺失資料。
 
儘管新法規不需要特定類型的技術管制,但它確實多次提到使用加密作為保護個人資料安全的手段,使未經授權的使用者無法解讀資料。那麼組織如何利用旨在保護個人資料的其他規則實現合規性呢?健康保險流通與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI DSS) 以及沙賓法案 (SOX) 是與歐盟資料保護規則類似,需要資料保護管制措施的幾個例子。由於加密後的資料令人無法理解,因此被廣為接受為解決這些需求的適當手段。如果加密的資料遺失或遭竊,它基本上是毫無價值的資料。任何人都無法存取實際的資料。而且當加密的資料與可以阻止資料竊取攻擊的保全系統結合在一起時,您最有可能確保資料安全。
 
結論:如果您想要針對資料保護規則的變化做好準備,應該先了解加密和反惡意軟體技術。
 
Sophos 如何協助您解決資料保護難題
 
建立資料保護策略可能是一個艱鉅的過程,尤其當它過去並非貴組織著重的重點領域時。那麼您應該從哪裡開始?可靠的資料保護策略不是一天造成的。但考慮到 58% 的資料外洩是由駭客或惡意軟體造成的,而且 27% 的資料外洩是因為意外洩漏 (人為錯誤) 引起的。4針對這些威脅採取防範措施是一個很好的開始,Sophos 建議採取三個步驟來實現。
 
阻止駭客攻擊和惡意軟體
 
採用資料竊取惡意軟體的惡意攻擊是資料外洩的主要原因。Sophos XG Firewall 可以在威脅穿透網路之前將其擋在門口,並阻止在網路內傳播。
 
Sophos Intercept X 和 Central Endpoint Advanced 透過反惡意軟體、防漏洞利用攻擊和防勒索軟體保護,使您的端點裝置免遭資料竊取攻擊的危害。
 
Sophos Server Protection 可保護您的伺服器,免受包括勒索軟體在內的進階惡意軟體威脅。讓貴組織最敏感的資料受到保護。
 
即使裝置遺失或遭竊,也能保護其安全
 
GDPR 無法防範裝置錯置或遭竊。Sophos Central Device Encryption 是集中管理所有 PC 和 Mac 完整磁碟加密最簡單的方式,即使資料遺失或遭竊,也能保證其安全。
 
Sophos Mobile 利用安全的容器可隔離敏感資料並保持其安全。如果裝置遺失或遭竊,可以從遠端鎖定並抹除該裝置。
 
減少人為錯誤的影響
 
我們大多數人都曾經將電子郵件寄錯人,或者遭到像真度高的網路釣魚電子郵件誘惑。但是,當涉及敏感資料時,無辜的錯誤就可能會變成高價的罰款。Sophos Phish Threat 可測試並訓練各種行業和語言的使用者發現並回報網路釣魚電子郵件。
 
Sophos SafeGuard 提供檔案層級的加密功能,因此即使文件誤傳到公司網路外,也無法讀取且無法使用該文件。
 
Sophos Central Endpoint Advanced 可針對您的端點裝置提供資料遺失防禦。防止包含特定關鍵字或特定檔案類型的檔案離開具有預先設定或自訂規則的裝置。
 
數年來,備受矚目的資料外洩事件一直驚人的頻繁地成為頭條新聞。在 GDPR 的影響下,罰款可能高達 2,000 萬歐元或全球年營業額的 4%,這比以前的罰款要高得多。重要的是, 要強調這並不是只有知名企業才會受到影響,持有歐盟公民資料的每個組織都必須遵守該規則。
 
確保客戶資料的機密性和安全性對實現這個目標至關重要。Sophos 可提供加密、反惡意軟體和資料保護技術協助貴組織符合 GDPR 的要求。
 
附錄
 
1. Q&A on EU Data Protection Reform. European Commission, December 21, 2015
2. Q&A: new EU rules on data protection put the citizen back in the driving seat. European Parliament. 2016 年6 月 1 日
3. Regulation (EU) 2016/679 of the European Parliament and of the Council. April 27, 2016
4. 2017 Data Breaches - Privacy Rights Clearinghouse
 
圖片


回上頁   |   下一則