歐盟開始實施象徵其資料保護規範重要里程碑的一般資料保護規範 (General Data Protection Regulation, GDPR),迄今已歷經數個月的時間。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。違反相關規範者恐將面臨巨額罰款及重大懲處,目前已有數家公司行號受罰。 不過,仍有部分公司尚未釐清這項最新立法規範。事實上,依據一項針對歐盟七國所做的新聞網站意見調查結果,自實施 GDPR 以來,同意橫幅的增加比例僅為 16%,同時,每個網頁的第三方 Cookie 數量下降了 22%。
數字看似不少,但相較於 5 月 26 日如洪水般猛烈的「我們已更新條款」電子郵件攻勢,這樣的結果並不如預期。這代表什麼?
這種現象意味著許多公司還不清楚 GDPR 規範,同時也表示現在我們該繼續探討延宕許久但未曾遺忘的「詳細解讀 GDPR 的資料保護原則」系列文章了。
在本系列連載文章中,我們將探討七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確保確實遵守 GDPR 與其他監管準則。
本系列的第一篇文章探討了 GDPR 的基礎概念:何謂 GDPR、GDPR 在規範什麼、GDPR 會對哪些人造成影響等等,同時,我們也探討了第一項資料保護原則,那就是有權要求公平、合法且公開透明的資料處理流程。您猜對了!第二篇文章探討的是第二項和第三項原則:目的限制與資料減縮。 第三篇文章闡明了第四項和第五項原則:準確性及儲存限制。
現在,我們接續上一次的內容,繼續討論第六項原則:完整性與機密性,以及第七項原則:責任歸屬。
第六項原則:完整性與機密性
在 GDPR 堅守的七大原則當中,第六項原則是相當重要的一項,理由非常充分,即一切都是為了安全。
第六項原則載明資料「處理方式必須能夠適度保障個人資料的安全,包括必須採行相關技術或組織措施,盡力防範未經授權或不合法的處理方式,也須避免不慎遺失、摧毀或損壞資料。」
若以白話文解釋,這段法律條文的意思是:企業組織處理個人身分識別資訊 (Personally Identifiable Information, PII) 的方式,必須能夠防範資料遭竊、遭摧毀或不慎遺失等事故。所謂「採行相關技術或組織措施」的定義稍顯模糊,GDPR 法規撰寫人有可能是刻意避免釐清強制規定的安全防護措施,因為相關技術和最佳實務會不斷變化。
對我而言,這項規定似乎是在要求大家採行可靠完善的安全防護最佳實務,例如加密傳輸中或閒置中的資料、使用兩階段驗證,以及使用防篡改記錄技術追蹤存取資料的人員、時間和方法。企業組織過去若習慣採用無安全防護措施的 S3 Buckets 技術留存 PII,這項規定可能看似相當嚴苛,不過,實際改革起來並不至於大費周章,無論是否需要遵守 GDPR 規範,我都建議各企業採行這項措施。
第七項原則:責任歸屬
第六項原則是唯一明確著重於安全規範的原則,而最後一項原則強調的重點則在人人真正在乎的問題:後果。
第七項原則簡潔明了地載明「資料控管者應承擔遵循 [前幾項原則] 的責任並具備這種能力。」
未能確實遵循前六項原則的後果恐怕相當嚴重,最高可罰款 2400 萬美元或是全球年營收的 4%,以其中金額較高者為準。凡需收集、儲存或處理歐盟居民個人資料的企業組織,皆須遵循相關規範。無論貴公司的總部設於何處,概無例外。即便公司行號在歐盟地區並未設立實際據點,仍須遵循 GDPR 規範。
不過,什麼叫做遵循規範?該如何展現您確實是遵循規範的優良企業?GDPR 並未說明企業該如何證明確實遵循了規範,這是因為產業類型不同、需要處理的資料不同,以及組織規模大小不同,所謂遵循規範的定義就大相逕庭。不過,無論組織規模是大是小,您一定要做好隨時接受稽核的準備。建議採行普遍的最佳實務,例如記錄安全事件及 PII 存取情形,以及進行內部稽核。
再者,建議進行業務風險評估,這項評估可以協助您發現任何漏洞,同時也能評估您是否需要加強或實施具體的安全管制措施。
管理式檔案傳輸對於協助貴公司遵循規範有何助益
如前所述,只要貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵循「一般資料保護規範」(GDPR)。在這千鈞一髮的時刻,最佳措施就是保證個人資料傳輸過程中所用的系統、使用者驗證以及加密技術全數安全無虞,而且確實符合 GDPR 的規定。
像 MOVEit 這般可靠的管理式檔案傳輸解決方案,可以運用許多方式協助貴公司遵循 GDPR。
- 自動檢查檔案完整性 (Automatic File Integrity Checking) 能夠檢查檔案是否遭到竄改,從而避免導致資料不正確的重大錯誤,同時也能避免任何人不當存取資料。
- 加密傳輸中及閒置中的資料。MOVEit 採傳輸及儲存加密技術並行方式,一方面運用 SSL 或 SSH 加密傳輸中的檔案,另一方面則運用 FIPS 140-2 驗證合格的 256 位元 AES 加密磁碟中的閒置檔案。即使發生資料外洩事故,這些步驟仍然能夠保障檔案及您所處理的 PII 安全無虞。
- 詳細的防篡改記錄功能,可以詳實記錄檔案傳輸活動,讓您確切掌握存取資料的人員、時間、地點及方式。如此一來,即使資料遭到篡改,您仍然能夠掌控大局。
- 內建資料不可否認機制,這項機制可讓您證明上傳、下載了某個特定檔案的人員,也能證明上傳及下載的檔案完全一致,使您能夠查證每一位處理過某個檔案的使用者,並且提供可靠的存取記錄。
想要深入瞭解詳細資訊?歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵涵義:
另請觀看這部快速簡介七項資料原則的影片
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.