歐盟的「一般資料保護規範 (GDPR)」試圖加強規範企業對重要個資的管理方式,不論是自行蒐集處理或委託第三方服務皆然。因此,在貴重資訊的管理和保護方面,關鍵的問題即在於:脆弱的環節在哪裡?
網路犯罪者攻擊大型組織常用的手法,便是從安全控管機制較薄弱的第三方供應商下手。深入瞭解相關領域是一項重要任務,因為許多企業會在毫無可見度的情況下,將資料散佈至其他組織。Ponemon Institute 於 2017 年進行的研究指出,57% 受訪者並未保留共享資訊的第三方名單,而 82% 不知道自己的重要資料是否與第四甚至第五方共用。
同一份調查指出,至少 56% 的受訪者在 2017 年遭遇第三方資料外洩的情況。這項問題對企業而言十分嚴重,因為在 GDPR 的規範之下,供應鏈若發生資料洩漏與入侵事件,組織將遭到究責。平均而言,光是一次資料洩漏,美國企業就得負擔 730 萬美元的罰款、賠償與客戶流失成本。
第三方供應商包括行銷團隊、法律事務所、甚至物流與自由工作者,乃至於任何曾經蒐集或經手客戶、聯絡窗口或員工資料的實體。雲端儲存等外包 IT 後端流程也不例外。過去幾年來曾發生一些嚴重案例,皆是組織因忽視供應商安全性而成為資料外洩的受害者。
違反 GDPR 時,誰會遭到究責?
若是資料處理過程導致的外洩事件,資料管理者將一併遭到究責。舉例來說,若一間行銷公司因資料遭駭導致電子郵件帳號和電話號碼外洩,雇用這間行銷公司的企業將一併遭到究責。企業若想免除責任,則必須證明自己與該事件完全無關且已善盡應有的注意義務。
資料的管理者或處理者若違反 GDPR,將面臨兩種罰款,最重為 2000 萬歐元或高達年度總營業額之 4%。
更廣泛而論,若資料處理或處置方式違反 GDPR 規範,資料管理者可能遭到究責。資料處理者也將因違反 GDPR 規範或違反資料管理者指示,而遭追究損失責任。