準備好面對嚴苛的 GDPR (歐盟一般資料保護法規)了嗎?

歐盟的「一般資料保護規範 (GDPR)」試圖加強規範企業對重要個資的管理方式,不論是自行蒐集處理或委託第三方服務皆然。因此,在貴重資訊的管理和保護方面,關鍵的問題即在於:脆弱的環節在哪裡?

準備好面對 GDPR (歐盟一般資料保護法規)了嗎?

網路犯罪者攻擊大型組織常用的手法,便是從安全控管機制較薄弱的第三方供應商下手。深入瞭解相關領域是一項重要任務,因為許多企業會在毫無可見度的情況下,將資料散佈至其他組織。Ponemon Institute 於 2017 年進行的研究指出,57% 受訪者並未保留共享資訊的第三方名單,而 82% 不知道自己的重要資料是否與第四甚至第五方共用。

同一份調查指出,至少 56% 的受訪者在 2017 年遭遇第三方資料外洩的情況。這項問題對企業而言十分嚴重,因為在 GDPR 的規範之下,供應鏈若發生資料洩漏與入侵事件,組織將遭到究責。平均而言,光是一次資料洩漏,美國企業就得負擔 730 萬美元的罰款、賠償與客戶流失成本。

第三方供應商包括行銷團隊、法律事務所、甚至物流與自由工作者,乃至於任何曾經蒐集或經手客戶、聯絡窗口或員工資料的實體。雲端儲存等外包 IT 後端流程也不例外。過去幾年來曾發生一些嚴重案例,皆是組織因忽視供應商安全性而成為資料外洩的受害者。

違反 GDPR 時,誰會遭到究責?

若是資料處理過程導致的外洩事件,資料管理者將一併遭到究責。舉例來說,若一間行銷公司因資料遭駭導致電子郵件帳號和電話號碼外洩,雇用這間行銷公司的企業將一併遭到究責。企業若想免除責任,則必須證明自己與該事件完全無關且已善盡應有的注意義務。

資料的管理者或處理者若違反 GDPR,將面臨兩種罰款,最重為 2000 萬歐元或高達年度總營業額之 4%

更廣泛而論,若資料處理或處置方式違反 GDPR 規範,資料管理者可能遭到究責。資料處理者也將因違反 GDPR 規範或違反資料管理者指示,而遭追究損失責任。

第三方供應商應注意哪些責任?

根據 GDPR,當事人對於自身資料擁有一定權利:包括存取、攜帶、移轉以及刪除。資料管理者 (包含第三方) 有應確保權利充分獲得行使,並負責保管資料。資料處理者需遵守一系列安全性標準,並協助管理者行使相應的權利。企業應分辨第三方供應商係為資料管理者抑或處理者,並確保其遵守相應的 GDPR 標準。

有關資料入侵的通報方法,GDPR 的規定非常明確。一旦得知個資遭入侵,資料處理者應立即通知管理者,不得延遲。若個資入侵事件可能嚴重危及當事人的權利和自由,則資料管理者亦應立即通知當事人,不得延遲

針對個資入侵事件,資料管理者應於 72 小時內通知主管機關。若資料入侵事件不太可能危害當事人權利與自由,則可視為例外處理。但這種情況下,必須說明延遲通報的理由。

如何做好事前準備?

詢問供應商六項問題:
您是否遵守 GDPR
我的資料在哪裡處理或蒐集?
您是否將資料移轉或外包給其他公司?
誰有權存取我的資料?在哪裡?理由為何?
我的資料安全程度如何?
是否已制定入侵事件通報流程?

  • 請全盤掌握您的資料!瞭解您的資料位置,以及任何第三方的使用情形。這些第三方單位屬於管理者或處理者?您也必須確切瞭解資料的具體儲存和處理位置。
  • 請善盡應有的注意義務,評估所有替您蒐集與處理資料的第三方。他們是否訂有入侵回報機制?他們是否遵守 GDPR?他們的安全機制是否妥當?
  • 若您的供應商遭遇資料入侵,會有什麼後果?評估風險,並瞭解在該情況下自己有何責任。
  • 確保只提供最少的必要資料給供應商
  • 檢查與第三方供應商最初的協定與合約。您可能需要修改要求條件,才能符合 GDPR 的規定。
  • 若您既有的解決方案供應商在五月前並無計畫遵守 GDPR,請開始評估並規劃,設法改與其他遵守 GDPR 的解決方案供應商合作。

原文出處:Get Ready for the GDPR: Improving Supply Chain Security