服務供應商因數據外泄,遺失客戶資料時有所聞。為保障用戶私隱權益,歐盟早年已宣布,將於今年5月25日,正式於全球實施最新修訂的「一般資料保護規例」(General Data Protection Regulation,GDPR),以加強保護個人資料及應對近年雲端、物聯網,及大數據等資訊科技發展所衍生的私隱問題。
別以為非歐盟國家便可獨善其身,因GDPR適用於全球範圍,位於歐盟境外的企業,若擁有屬於歐盟公民的客戶,都必須遵循法例,否則將面臨鉅額罰款。GDPR實行在即,企業應該完成或最少已開始進行部署,例如更新內部資料私隱守則及網絡保安措施,以確保客戶及自身的資料受到GDPR保障。
4招穩步迎GDPR
為迎接GDPR,Veeam Software給予企業4大建議:
一、全面了解企業所保存的數據和使用流程
GDPR適用於持有歐盟公民數據,或個人身份信息(Personally Identifiable Information,PII)的企業。企業千萬不要對GDPR置身事外,以為這只是IT或一般的合規問題。事實上,GDPR與企業的營運及業務息息相關,只要有來自歐盟的客戶、合作夥伴或員工,都已受到GDPR管制。因此,企業應全面了解自己擁有的所有數據,整合並製作出一個數據概覽,有助查看數據的存取權及使用方式。
業務中的各個團隊和部門,可能以不同的方式使用相同的數據,以達到不同的目的。無論是一個營銷部門存入潛在客戶的資料,並與銷售團隊共享,或是人力資源部門需要處理員工的資料,企業必須統一處理個人數據的程序及工作流程,並確保員工只在必要時才使用相關資料。同時,企業亦應該保證所有的利益相關者,清楚理解新規例的要求,以及對他們的工作流程有何影響。
二、加強數據保護及制定數據外泄計畫
除更妥善管理數據並實施標準化流程,企業應該採取適當的保安措施以保護數據。建議企業透過檢視數據的儲存方式及程序,尋找出箇中的安全弱點再增加支援,以降低觸犯規例的風險。
GDPR要求持續的監控和風險評估,一旦發生數據外泄事故,更必須於發現後72小時內通報事件。因此,企業必須及早計畫,以便迅速檢測、報告和處理數據外泄。透過採取全面的數據保護方案,科技為企業提供安全技術、標準化的工作流程、內部培訓、存取控制,及備份解決方案等。有了持續的數據監控,企業能夠全面檢視所有存取數據的動態,並可對數據外泄作出更快速的回應。若數據被惡意軟件攻擊,復原軟件也能有助保持數據可用。
三、進行數據審計及記錄
由2018年5月25日起,企業須證明數據處理背後的法律依據,違規卻無法證明其數據活動的公司,將受到GDPR執法機構的處分。因此,企業必須進行數據審計,清楚了解自己擁有哪些個人數據、其儲存位置、來源、持有的原因及方式。此外,GDPR將在數據方面帶來更大的公民權利,大眾能夠查閱及要求企業刪除其資料。為保障這項權利,企業必須持續記錄及審核收集的數據,並標記每個數據點的位置,以便在必要時查閱。
四、持續改善
持續的監測和審核數據保護流程,有助企業進行審查和改進。隨著數碼應用不斷發展和擴大,企業對保護數據隱私的責任亦隨之而增加,他們必須確保數據的可用性、質量及安全性,不斷地改進以保持合規性。
GDPR將為數碼世界帶來新氣象,而數據正在迅速成為這個時代最珍貴的資產。企業應將之視為一個機會,重新檢視整個數據保護及儲存方式,與時並進。