【Market Trend】解讀GDPR:香港企業亦受影響?

【Market Trend】解讀GDPR:香港企業亦受影響?

作者:Aruba香港及澳門地區總經理馬偉雄

「歐盟通用數據保障條例」(General Data Protection Regulation,GDPR)已正式生效,此條例除了於歐盟地區引起不少疑慮外,愈來愈多亞太企業亦開始正視此議題。條例實行後,企業若違反 GDPR 而資料外洩,須繳交相等於全球 4% 年營業額或 2,463 萬美元的巨額罰款(以較高者為準)。香港企業只要業務涉及歐盟居民,亦屬 GDPR 的管制範圍內。

近年香港網絡攻擊的案件數目不斷上升,不少企業被盜取大量客戶資料。有見及此,香港個人資料私隱專員公署正檢討本地的數據保障條例,並研究是否需要更周密保護市民的個人資料。根據現行法例,如企業未有採取措施保障用戶資料及堵塞有機會外洩資料的漏洞,則會遭受檢控。

雖然不少亞太企業表示已開始正視 GDPR 條例,但在 2017 年 4 月的一項調查卻發現,新加坡、日本與南韓等地有半數以上的企業尚未準備好應對此法例;香港個人資料私隱專員公署去年底的報告亦指出,30 個香港會員及積分制計劃的客戶資料可於計劃的「生意拍檔」、「母公司」以及附屬公司系統中自由存取,難以預料市民的資料會如何使用。

港企如何確保公司符合 GDPR 規定

GDPR 旨在改變全球企業處理個人資料的方式。香港企業可考慮推行以下措施,以保護客戶資料同時符合 GDPR 規定:

  1. 評估漏洞風險

由於市面上沒有任何資訊安全產品組合能完美堵塞安全漏洞,亞太企業必須立刻展開 GDPR 合規的準備工作。企業可先徹底查核公司網上及網下活動資料,評估其業務有否提供產品或服務予歐盟民眾。其中若發現任何歐盟民眾的個人資料,企業應安排足夠資金與人手,以制定完善的合規性計畫。

  1. 聘請資料保護專員

僱用資料保護專員(Data Protection Officer,DPO)是 GDPR 的重要規定之一。凡是公營機構、核心業務涉及監控大量個人資料的公司或需大量處理敏感個人資料的企業,都必須聘請 DPO。受 GDPR 管制的香港企業,即使業務範圍屬歐盟之外,亦同樣需要聘請身處歐盟地區的 DPO。

受僱的 DPO 必須具備專業知識與相關能力,以管理公司業務流程、IT 及資訊安全系統,同時明瞭資料保護議題的最新消息,以確保企業符合條例。此外,GDPR 嚴格要求 DPO 必須為獨立職位,同時在企業中具有影響力。

  1. 持續監控漏洞及制定通報系統

GDPR 規定,一旦資料外洩,企業需要在 72 小時內通報相關機構。因此,企業須持續監控漏洞及制定通報系統,以便即時通報資料外洩情況,免遭重罰。現時市場上有資訊安全軟件可持續監控及偵測進階網絡攻擊,讓亞太企業可以盡快整合及傳遞漏洞的重要資訊。

回顧去年的 WannaCry 與 Petya 事件,不難發現現時網絡攻擊愈趨複雜,而攻擊更能躲避傳統安全防禦機制。因此,企業需要引入更高階的監控解決方案,例如推行網絡存取控制(NAC)方案,按照職權設定相應的資訊存取權限;並透過使用者及實體設備行為分析(UEBA) ,運用 AI 基礎的機器學習技術,主動偵測內部攻擊事件,減低企業資料外洩的風險。

簡而言之,企業必須制定監控與修正系統,萬一資料不幸外洩,亦能迅速掌握狀況及確定損害範圍,同時清楚簡潔傳遞相關資訊。而 DPO 則須協助企業符合 GDPR 相關要求。

網絡發展日新月異,縱使 IT 系統能跟上其步伐,安全問題卻依然存在,而 GDPR 只是大規模解決問題的第一步。更重要的是,即使沒有 GDPR,各企業也應嚴格保護客戶與員工的資料。