歐盟通用資料保護法 - 資安趨勢部落格

建構更妥善的資料保護，避免違反 GDPR 歐盟資料保護法規範(含資料圖表)

2018 年 06 月 12 日2018 年 06 月 12 日趨勢科技 TrendMicro

一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過，目前已經實施。這項規範成為全球各地的熱門話題，其中採用更嚴格的資料保護標準，並訂定高額罰款，而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響，不論其規模或地點為何。位於亞洲地區的公司，以及分公司遍佈歐洲的跨國企業，只要收集及處理歐盟公民資料，就要負責遵循法規。

這項規範也描述受影響組織的資料保護義務，其中包括採用最先進的安全措施，乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規，歐盟主管機關提供兩年的時間，讓各會員國及組織有時間做好準備。現在過渡期已經結束，GDPR 正式實施。

現在會發生什麼事情？

實施法規代表組織應已依據 GDPR 處理個人資料，包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定，主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度，處理已經開始但尚未完成法規遵循工作的企業及組織。

最糟情況是什麼？組織要為未遵循法規造成的損害負責，並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額，以較高者為準。

最理想情況是什麼？若組織完全遵循 GDPR，或使用規範作為起始點超越最低標準，將享有重大優勢。其中部分效益包括：安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率，以及加強客戶及使用者的信任度。

雖然 GDPR 適用於歐盟公民的個人資料，但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後，有多個國家也加強本身國內法規，例如英國及澳洲在內的多個地區，也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會，不論是跨國企業還是小型組織，都能趁此跟上全球在資料隱私及先進安全技術方面的進展。

組織應如何應對？

在理想情況下，組織現在應已完成法規遵循的所有基礎工作，也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務，因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容，確保能夠適當運作。多項法律及軟體變更也預期自即日起或未來幾個月內生效，組織應做好準備面對任何必要變更。繼續閱讀

資料外洩事件必須在 72 小時之內通知! IT 安全對邁向 GDPR 遵規之路有多重要?

2018 年 05 月 10 日2018 年 05 月 11 日趨勢科技 TrendMicro

歐盟通用資料保護法 (GDPR-General Data Protection Regulation) 所強調的重點是企業內的透明、安全與責任歸屬，這其中每一項都對資安造成不同程度的影響，從行動、預防，到減低傷害、監督、資安意識等等。

在這段有關我們如何邁向 GDPR 遵規之路的最新系列影片當中，我們的 IT 安全總監 William Dalton 將說明 GDPR 如何影響趨勢科技在資安上的作法，包括：促使我們從全球觀點來看待資料隱私的管理，以及改變我們對資料外洩事件的對外通訊方式。

GDPR 最重大的挑戰之一就是資料外洩事件必須在 72 小時之內通知，這突顯出資料外洩事件必須明確告知的重要性。為了達成這項規定的要求，我們制定了一些新的程序和作法來讓我們不僅能夠確切掌握是否有資料外洩發生，更能夠在發生時迅速而準確地加以矯正和通報。

GDPR 另一個需要注意的重要領域是必須採用頂尖的防護技術。為了符合這項規定，我們採用了多重技術 (包括趨勢科技自家的多項產品) 來保護客戶資料，協助我們達成法規要求。有鑑於該法規對於網路邊境、資料中心內部以及端點裝置都有資安與隱私的要求，因此採用趨勢科技環環相扣的防護產品，讓我們在需要通報資料外洩事件時更加輕鬆，因為不論事件發生在何處，我們都能夠輕易掌握資安狀況並蒐集必要資訊。

請觀賞這段影片，讓我們的 IT 安全總監為您說明 GDPR 將在哪些層面對資安造成影響，以及採取全球觀點來管理資料的重要性，還有為何您需要頂尖的防護。

系列影片簡介:

銷售和行銷：看我們的營運長 Kevin Simzer 說明我們如何和客戶站在同一陣線，一起邁向 GDPR 遵規之路，以及這個過程能帶來什麼效益。

人事：看看 GDPR 如何影響我們的員工，以及我們如何確保員工真正了解這項法規。

行銷業務：看看我們的行銷業務團隊如何確保所有外部平台上的客戶資料都能受到妥善保護。

產品與服務：聽聽我們的雲端防護資深副總裁 Bill McGee 說明我們如何不斷創新來提供頂尖的產品功能，以及我們如何協助客戶履行其雲端環境共同分擔的資安責任。

銷售與通路訓練：看看讓現有的通路合作夥伴認識 GDPR 有多重要，以及我們如何協助他們找到達成 GDPR 規範所需的工具。

原文出處：Buckle up: The Importance of IT security on the GDPR Journey 作者：Steve Neville

公家機關該如何因應 GDPR歐盟通用資料保護法 ?

2018 年 04 月 14 日2018 年 04 月 13 日趨勢科技 TrendMicro

企業機構正為了符合即將在五月上路的歐盟通用資料保護法 (General Data Protection Regulation，簡稱 GDPR) 而忙於重整其資料蒐集與管理政策。GDPR 的影響範圍非常廣泛，涵蓋任何會蒐集並處理歐盟人民個人資料的企業機構，甚至非設在歐盟地區的機構也在涵蓋範圍內。然而，絕大多數的討論都圍繞在民間機構即將面臨的安全與資料相關問題。公家機關的情況則鮮少論述。GDPR 知道，為了公共利益，公家機關在某些特殊情況下必須擁有某些法律上的轉圜空間，尤其是牽涉到安全與醫療。

GDPR 針對公共事務的除外狀況

GDPR 的規範涵蓋所有類型的個人資料，包括可用來識別個人的所有資訊，如：姓名、社會安全碼，以及一些特殊資料，如政治主張和種族。這些都是公家機關經常會蒐集到的珍貴資料，包括：人口普查、選舉部門、醫療及就業團體等等。而這些資料在許多情況下，很可能被有心人士拿來對個人不利，因此才會有制定資料保護法的必要。

雖然 GDPR 針對個人資料的蒐集、管理與處理訂定了許多規範及嚴格的安全標準，但在某些情況下，GDPR 對於擔任資料掌控者與處理者的公家機關卻有些放鬆的規定。視歐盟或會員國的法律而定，這些豁免狀況包括：

為了履行資料掌控者或資料擁有人在就業與社會安全及社會保護法中的某些權利。
為了國防、犯罪調查、保障公共安全。
為了歐盟會員國與歐盟整體的金融或經濟利益。
為了公共利益而必須歸檔、為了科學或歷史研究之目的，或為了統計之目的，但僅限於必須獲得豁免才能完成該項工作時。

基本上，這些都是公共安全和學術工作相關的特定領域公家機關活動。在一般情況下，公家機關依然全面適用 GDPR，因此公家機關仍必須遵守其資料蒐集與處理規定。

特殊類型資料的處理

GDPR 有很大部分都是關於認定哪些類型的資料屬於個人資料，以及企業機構該如何處理這些類型的資料。該法對於個人資料的規定相當完整，並且禁止處理有關人種、種族、政治、宗教、信仰、基因與生物特徵，以及有關健康和性別傾向的資料。當公家機關在某些情況必須取得上述類型的資料時，GDPR 也明確訂定了禁則例外情況，包括：