GDPR(General Data Protection Regulation)歐盟通用資料保護法 - 資安趨勢部落格

建構更妥善的資料保護，避免違反 GDPR 歐盟資料保護法規範(含資料圖表)

2018 年 06 月 12 日2018 年 06 月 12 日趨勢科技 TrendMicro

一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過，目前已經實施。這項規範成為全球各地的熱門話題，其中採用更嚴格的資料保護標準，並訂定高額罰款，而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響，不論其規模或地點為何。位於亞洲地區的公司，以及分公司遍佈歐洲的跨國企業，只要收集及處理歐盟公民資料，就要負責遵循法規。

這項規範也描述受影響組織的資料保護義務，其中包括採用最先進的安全措施，乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規，歐盟主管機關提供兩年的時間，讓各會員國及組織有時間做好準備。現在過渡期已經結束，GDPR 正式實施。

現在會發生什麼事情？

實施法規代表組織應已依據 GDPR 處理個人資料，包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定，主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度，處理已經開始但尚未完成法規遵循工作的企業及組織。

最糟情況是什麼？組織要為未遵循法規造成的損害負責，並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額，以較高者為準。

最理想情況是什麼？若組織完全遵循 GDPR，或使用規範作為起始點超越最低標準，將享有重大優勢。其中部分效益包括：安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率，以及加強客戶及使用者的信任度。

雖然 GDPR 適用於歐盟公民的個人資料，但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後，有多個國家也加強本身國內法規，例如英國及澳洲在內的多個地區，也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會，不論是跨國企業還是小型組織，都能趁此跟上全球在資料隱私及先進安全技術方面的進展。

組織應如何應對？

在理想情況下，組織現在應已完成法規遵循的所有基礎工作，也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務，因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容，確保能夠適當運作。多項法律及軟體變更也預期自即日起或未來幾個月內生效，組織應做好準備面對任何必要變更。繼續閱讀

為 GDPR 做好準備：強化易受攻擊的郵件系統

2018 年 05 月 15 日2018 年 05 月 15 日趨勢科技 TrendMicro

歐盟通用資料保護條例（GDPR）的目的是保護歐盟居民的個人資料，無論位在何處。該法規強制企業遵守關於如何收集、儲存和使用資料的隱私規定，包括數位識別資料（如電子郵件地址），通過郵件交換的訊息及郵件聯絡人列表（大多數電子郵件都涵蓋在“GDPR”所要保護的“個人資料”內）。

趨勢科技2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關

電子郵件對企業來說是特別脆弱的一環，因為它是一種溝通工具，同時也是網路犯罪份子最愛用的威脅載體。趨勢科技的Smart Protection Network在2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關。

電子郵件會成為主要的攻擊途徑是因為這是種無處不在且被廣泛利用的通訊方式。根據市場調查公司Radicati Group在2017年所進行的研究顯示，該年每天發送了2,690億封電子郵件。除了數量外，電子郵件也被各種人士所使用，從年輕學生到跨國企業執行長都有。它已經成為日常生活的一部分，人們經常會打開電子郵件，滑動內容或點擊連結。網路犯罪分子也利用這樣的習慣來嘗試各種手法攻擊使用者：

網路釣魚(Phishing)：
這是種古老卻仍被廣泛應用的攻擊方式，網路犯罪分子會冒充公司同事來向目標受害者索取個人資料或帳號內容。網路釣魚有時也被用來取得深入企業網路的權限。電子郵件只是網路釣魚攻擊的眾多形式之一。
變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱BEC)：
在BEC詐騙中，網路犯罪分子會入侵高階主管的電子郵件帳號，並且試圖誘騙員工或財務長將資金轉到詐騙用帳戶。
垃圾郵件（Spam） :
垃圾郵件是另一個老舊但仍在使用中的技術。根據我們在2016年的調查結果，有71%的勒索病毒透過垃圾郵件散播。網路犯罪分子會製作看似合法的電子郵件（從工作相關郵件到行銷郵件都有）加上附加惡意檔案或連結。可以用來散播各種惡意軟體來危害使用者或企業的系統。

繼續閱讀

以 GDPR 的隱私始於設計 (Privacy by Design) 保障資料安全

2018 年 05 月 14 日2018 年 05 月 14 日趨勢科技 TrendMicro

資料外洩已成為主流資安事件，每次新出現的外洩事件似乎都比之前更嚴重。近期外洩事件的嚴重程度，讓資料保護成為近年來立法領域討論最多的話題，促成了各國的嚴格立法，例如歐盟的一般資料保護規則 ( General Data Protection Regulation ( GDPR) 以及世界各地，包括英國、美國、澳洲及中國。

這些事件的詳細資訊，向大眾展示了他們的個人資訊遭到使用或濫用的各種方式 – 用於分析、精準行銷、公然盜用身分等等。而大眾開始更加關注企業如何收集與保護他們的個人資料。光是去年一年，我們已經看到企業如何儲存資料儲存失當、缺乏適當更新的安全性，並且輕率處理存取權限，導致第三方得以不當使用資料。這個情況顯示，雖然大多數企業已經制訂並改善了資料收集與使用政策，但並未將資安納入考量。

企業資料安全狀況

越來越多的大規模隱私暴露事件以及後續引發的結果，促使企業增加了資安解決方案的開支。根據 Gartner的資料顯示，今年全球資安支出將達到 960 億美元；到了 2020 年，超過 60% 的企業將投資多種資料安全解決方案。調查受訪者表示，這些支出決策背後的主要推動力是資料外洩的風險。

但是部署尖端資安技術，只是周全有效的資料保護計畫中的一小部分。另一個重要部分是改變保障隱私做法的實際方法。涉及個人資料的任何計畫或專案，一開始就必須將隱私納入首要考量，而非將其視為附加功能。企業應該儘早在所有技術、流程及系統的設計階段納入隱私原則，這是一種主動而非被動的避險方法。

企業要如何進行改善？

組織需要採納隱私始於設計 (Privacy by Design) 的架構，在最初階段就對隱私及資料保護問題進行預測及因應。世界各地的主管機關已經體認到這種方法的優點，由近期如 GDPR 等法規的制訂可見一斑。遵循法規是朝著正確方向邁出的一步。遵循 GDPR 不僅是處理歐洲公民資料的必要要求，而遵守規則也為任何收集及處理個人資料的組織樹立了良好的典範。企業若希望將隱私全面整合至其基礎架構中，還應該注意由 GDPR 推動的重要資料隱私原則：資料最少化 (data minimization) 及匿名化 (pseudonymization)。

資料隱私從明確定義兩件事開始：要收集的個人資料類型，以及收集資料的用途。一些組織正在收集超出其真正需要的資料，並用於未明確告知使用者的用途。一種避免這種情況的方式，是資料最少化：僅向客戶收集需要的資料，用於使用者同意的用途，並遵循適當的資料保留政策，或在達成預期目的後刪除資料。

另一方面，匿名化資料能夠讓個人資料無法直接識別出特定人士。要將個人資料連結到特定某人的唯一方法，是將它與分開儲存及保護的其他資料組合在一起。這表示組織仍然可以處理個人資料並繼續為客戶提供服務，同時保護他們的隱私權。繼續閱讀

資料外洩事件必須在 72 小時之內通知! IT 安全對邁向 GDPR 遵規之路有多重要?

2018 年 05 月 10 日2018 年 05 月 11 日趨勢科技 TrendMicro

歐盟通用資料保護法 (GDPR-General Data Protection Regulation) 所強調的重點是企業內的透明、安全與責任歸屬，這其中每一項都對資安造成不同程度的影響，從行動、預防，到減低傷害、監督、資安意識等等。

在這段有關我們如何邁向 GDPR 遵規之路的最新系列影片當中，我們的 IT 安全總監 William Dalton 將說明 GDPR 如何影響趨勢科技在資安上的作法，包括：促使我們從全球觀點來看待資料隱私的管理，以及改變我們對資料外洩事件的對外通訊方式。

GDPR 最重大的挑戰之一就是資料外洩事件必須在 72 小時之內通知，這突顯出資料外洩事件必須明確告知的重要性。為了達成這項規定的要求，我們制定了一些新的程序和作法來讓我們不僅能夠確切掌握是否有資料外洩發生，更能夠在發生時迅速而準確地加以矯正和通報。

GDPR 另一個需要注意的重要領域是必須採用頂尖的防護技術。為了符合這項規定，我們採用了多重技術 (包括趨勢科技自家的多項產品) 來保護客戶資料，協助我們達成法規要求。有鑑於該法規對於網路邊境、資料中心內部以及端點裝置都有資安與隱私的要求，因此採用趨勢科技環環相扣的防護產品，讓我們在需要通報資料外洩事件時更加輕鬆，因為不論事件發生在何處，我們都能夠輕易掌握資安狀況並蒐集必要資訊。

請觀賞這段影片，讓我們的 IT 安全總監為您說明 GDPR 將在哪些層面對資安造成影響，以及採取全球觀點來管理資料的重要性，還有為何您需要頂尖的防護。

系列影片簡介:

銷售和行銷：看我們的營運長 Kevin Simzer 說明我們如何和客戶站在同一陣線，一起邁向 GDPR 遵規之路，以及這個過程能帶來什麼效益。

人事：看看 GDPR 如何影響我們的員工，以及我們如何確保員工真正了解這項法規。

行銷業務：看看我們的行銷業務團隊如何確保所有外部平台上的客戶資料都能受到妥善保護。

產品與服務：聽聽我們的雲端防護資深副總裁 Bill McGee 說明我們如何不斷創新來提供頂尖的產品功能，以及我們如何協助客戶履行其雲端環境共同分擔的資安責任。

銷售與通路訓練：看看讓現有的通路合作夥伴認識 GDPR 有多重要，以及我們如何協助他們找到達成 GDPR 規範所需的工具。

原文出處：Buckle up: The Importance of IT security on the GDPR Journey 作者：Steve Neville

GDPR 將是未來 WhatsApp 與 Facebook 共享用戶資料的一個考量因素

2018 年 05 月 04 日2018 年 05 月 03 日趨勢科技 TrendMicro

WhatsApp 已同意不再與其母公司 Facebook 分享用戶的個人資料，靜待歐盟通用資料保護法 (General Data Protection Regulation，簡稱 GDPR) 上路。此外，該公司也同意，如果未來再就其他用途與 Facebook 分享資料，將會遵守 GDPR 的規定。該公司的這項動作是為了回應英國資訊委員會 (Information Commissioner’s Office，簡稱 ICO) 對其資料分享行為的調查。

2016 年 WhatsApp 曾因眾多團體對其更新後的隱私權條款與條件有所疑慮而中止與 Facebook 分享用戶資料的計畫。其新政策當中包括了針對某些用途與 Facebook 分享用戶資料的條款。同年，ICO 針對此案展開全面調查，而法國和德國方面也隨之跟進。

分享資料務必遵守法規

ICO 發現這項資料分享的作法毫無法源根據，而且 WhatsApp 並未充分告知用戶有關其個人資料的被分享狀況。此外，這項資料分享計畫也與現有用戶當初提供個人資料時的用途不符。若當時兩家公司的資料分享計畫成案，將違反英國現行資料保護法 (Data Protection Act，簡稱DPA) 的規定。值得注意的是，目前已經有一個資料保護法修正案 (Data Protection Bill，簡稱 DPB) 正在國會審查，該案將確保未來英國法律不會與 GDPR 牴觸。

ICO 表示 WhatsApp 一案並不會引起罰鍰，因為資料外洩尚未成立。WhatsApp 已保證英國用戶的資料除了就資料處理的用途之外從未與 Facebook 分享。其實 DPA (及 GDPR) 並未「真正」禁止資料分享，只要企業機構遵照法律要求即可。

[觀賞趨勢科技邁向 GDPR 遵規之路的影片：GDPR 個案研究影片]

邁向 GDPR 遵歸之路的步驟

目前，Facebook 和 WhatsApp 已經開始針對 GDPR 進行一些調整。Facebook 已修改了隱私權政策，包括提供一些工具讓用戶控管及保護自己在社群網路上的隱私。同樣地，WhatsApp 也正在開發用戶資料隱私選項。等到這些更新內容推出，使用者就能將自己的帳戶資料下載成一份報告，以符合 GDPR 對資料可攜性權利的規定。ICO 表示未來將持續監控 WhatsApp 將如何修改其隱私權政策以及條款與條件，並持續觀察該公司在使用者同意權更加嚴格的 GDPR 規範底下將如何因應。繼續閱讀