被稱為「史上最嚴資料保護條例」的歐盟《通用資料保護條例》(GDPR,General Data Protection Regulation)已於5月25日生效。但據 Sophos 去年下半年在英國針對 IT 決策者的一項調查顯示,超過半數的企業承認對 GDPR 及其可能引發的財務風險並不瞭解。在離歐盟如此之近的英國尚且如此,中港台企業的情況也不容樂觀。
不合規的代價
GDPR開始實施之後,資料洩露將不再是企業聲譽受損或營業額下降這麼簡單了。違反 GDPR人士將被處以2千萬歐元或者企業上一年度全球營業收入4%罰款,兩者取其高。決定罰金有十大標準,即侵權的性質、意圖、緩解措施、預防性措施、歷史、合作、資料類型、通知、認證和其他。
這樣的處罰對任何企業而言都是一記重創,Sophos 調查者中超過25%的企業聲稱如此處罰會讓其徹底倒閉;如果企業規模不足50人,將有超過一半的企業受處罰後會關閉。而且 40%的 IT 決策者表示裁員將不可避免。
如何準備
要滿足這麼多關於資料保護方面的新要求,而且有可能為此還要設置新的工作崗位、招聘相應的人才等等,企業的 GDPR 合規之路何其漫長。雖然不可能放下手裡所有工作來應對 GDPR,但鑒於其重要性和長遠影響,企業高管確實應該開始分步驟地進行規劃,以降低風險,杜絕後患。
其實,降低風險並不複雜。企業只需確保最基本的設置到位,就可以很大程度防範資料洩露。這些基礎設置包括:確保所有作業系統和軟體更新至最新版本、對敏感性資料實施加密、教育所有員工有關網路釣魚和其他社交工程網路攻擊的風險。此外,還要部署一個有效的防病毒/惡意軟體解決方案,以減少因駭客攻擊和惡意軟體造成的違規風險。
根據 Sophos 的調查,歐洲的部分企業已經採取措施為GDPR做準備,42%的企業相信他們會在截止日期前合規,但問題是:
- 只有42%的企業設立了「資料保護專員」一職;
- 只有44%的機構設定好了程式,當客戶行使「被遺忘權」或反對資料處理時能夠刪除個人資料
- 不到一半的企業能夠在資料洩露後72小時內報告-這是法律的一項關鍵要求
有監管的好處
在如今這個數位化時代,企業和個人的很多資料都存在網路之上,有一個統一的資料安全法規進行約束是有實際意義,也是非常必要的。
雖然有企業會抱怨為了 GDPR 合規會增加不少成本,但想想不合規的後果,那些成本就完全不足一提。設定罰款是為了確保企業認真對待,而且會真正採取行動。只要真的做到位了,不但不會遭受罰款,還能讓企業運營更加安全。這對個人、企業、消費者都有好處。
如果沒有法律要求採取行動,很難促使企業費力去整合資料,務求令資料易於查找,匿名化,報告和瞭解。加大在資料安全性方面的投入,能夠説明企業降低品牌和聲譽損失的風險,使企業能夠確定敏感性資料的存儲位置,減少重複資料,並為企業提供寶貴的消費者見解,從而增強企業競爭力。
無論如何,GDPR已來臨。企業應該馬上行動起來,相信在不遠的將來今天的投資都會獲得回報。
Sophos的GDPR資源網頁: https://www.sophos.com/en-us/solutions/compliance/gdpr.aspx?cmp=28009