一般資料保護法規(以下簡稱GDPR)常見問題(上)

GDPR是20年來資料隱私法規方面最重要的變化之一。 它確定了企業組織如何持續處理客戶，員工和業務合作夥伴的個人資料。3M最近與弗雷斯特研究公司的Enza Iannopollo一起討論許多企業組織為了遵守GDPR等法規而製定的安全措施，政策和隱私合規性計劃。Enza提供了對職場準備度的深入了解，並強調需要透過實體保護來防範資料隱私的威脅。



以下為她的問答:

問: 職場(公司)是否準備好遵守GDPR?
答：我們的數據顯示全世界只有三分之一的公司準備好遵守GDPR。由於GDPR將從2018年5月25日開始，很顯然，許多企業組織需要加緊腳步來完成準備工作。
具體來說，我們看到一些公司正在努力達成實施和記錄員工隱私培訓和認知計劃的要求。歐盟監管機構已經表示，這些計劃對GDPR的合規性至關重要。同時，我們發現符合這一要求的組織已經改善了企業隱私文化，並建立了有時高於監管要求的最佳實踐。

問: 特定地區的公司是否有比其他地方的公司準備得更好?
答：34％的美國公司表示，他們已經做好準備，而歐洲的公司只有26％。 那些不符合GDPR要求的公司無論他們是否有意識到都將會承擔著巨大的商業風險。那些認為自己準備好了，但卻沒有做好準備的公司，冒的風險更大。
值得注意的是，與歐洲相比，美國有更多的公司認為他們已經做好了準備。這與GDPR的域外效應有關。該法規適用於所有的公司，不論其位置，只要有處理到或保存歐盟居民的個人資料。這意味著不僅是歐洲公司，而且還有許多總部在美國的公司將被要求遵守這些嚴格的隱私規定。

 我們懷疑，對規則的膚淺閱讀以及對於GDPR執行力道薄弱的誤導和毫無根據的預期，可能會挑戰公司對其準備狀況的看法。
問: GDPR需要甚麼樣的實體安全以及隱私保護措施嗎?
答: GDPR是以原則為基準的法規。意味著監管機構不會為企業組織提供一套明確的行動準則。相反的，企業應該將GDPR的要求，視為資料處理操練的一種“理想狀態”。這也表示，企業必須辨識和評估他們需要降低的特定風險以符合GDPR的要求。

在辨識風險時，企業必須考慮到資料處理時所呈現的情況，特別是由於意外或非法遺失、未經授權披露或接觸，而被傳送、儲存或以其他方式處理的個人資料。無論是因駭客在公司網站發起復雜的網路攻擊，或是陌生人拍攝員工筆電螢幕上顯示的高敏感資料而發生的資料外洩。兩者都屬同樣嚴重的風險，且需要適當的減損策略。

問: 視覺入侵有風險嗎?
答: 當然!請記住:許多時候想一窺企業組織的核心機密，需要的就是一組用戶名稱及密碼。只需看一眼未受保護的螢幕，即可讓未經授權的人員獲得這些密鑰以及存取權限。風險更隨著社交工程的日益複雜化而增長。
一年前，一名記者在飛機上工作時遭到駭客攻擊。 該名駭客表示，從他駭進了飛機中的Wi-Fi所擷取到的訊息，他能夠描述記者正在撰寫的文章的詳細內容、所發送的個人電子郵件以及即將召開的工作會議。又或許，該名駭客只是透過觀看記者的筆電螢幕來收集資料。這名記者對此感到憤怒，但是他意識到這個訊息：當他正在撰寫一篇敏感文章的同時，他剖析了蘋果拒絕聯邦調查局要求解密恐怖分子電話時，所帶來的深刻和深遠的隱私影響；卻忘了保護他自己設備的隱私和智慧財產權。就像那個記者一樣，許多企業組織也會犯同樣的錯誤，低估了網路和視覺入侵的風險。 

下一篇一般資料保護法規(以下簡稱GDPR)常見問題(下) 待續.....