詳細解讀 GDPR 的資料保護原則,第四部分:完整性、機密性與責任歸屬

詳細解讀 GDPR 的資料保護原則,第四部分:完整性、機密性與責任歸屬

作者: Jeff Edwards
發布日期: 九月 18, 2018 0 Comments
gdpr-data-principle-part-1

歐盟開始實施象徵其資料保護規範重要里程碑的一般資料保護規範 (General Data Protection Regulation, GDPR),迄今已歷經數個月的時間。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。違反相關規範者恐將面臨巨額罰款及重大懲處,目前已有數家公司行號受罰。 不過,仍有部分公司尚未釐清這項最新立法規範。事實上,依據一項針對歐盟七國所做的新聞網站意見調查結果,自實施 GDPR 以來,同意橫幅的增加比例僅為 16%,同時,每個網頁的第三方 Cookie 數量下降了 22%。

數字看似不少,但相較於 5 月 26 日如洪水般猛烈的「我們已更新條款」電子郵件攻勢,這樣的結果並不如預期。這代表什麼?

這種現象意味著許多公司還不清楚 GDPR 規範,同時也表示現在我們該繼續探討延宕許久但未曾遺忘的「詳細解讀 GDPR 的資料保護原則」系列文章了。

在本系列連載文章中,我們將探討七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確保確實遵守 GDPR 與其他監管準則。

本系列的第一篇文章探討了 GDPR 的基礎概念:何謂 GDPR、GDPR 在規範什麼、GDPR 會對哪些人造成影響等等,同時,我們也探討了第一項資料保護原則,那就是有權要求公平、合法且公開透明的資料處理流程。您猜對了!第二篇文章探討的是第二項和第三項原則:目的限制與資料減縮。 第三篇文章闡明了第四項和第五項原則:準確性及儲存限制。

現在,我們接續上一次的內容,繼續討論第六項原則:完整性與機密性,以及第七項原則:責任歸屬。

第六項原則:完整性與機密性

在 GDPR 堅守的七大原則當中,第六項原則是相當重要的一項,理由非常充分,即一切都是為了安全。

第六項原則載明資料「處理方式必須能夠適度保障個人資料的安全,包括必須採行相關技術或組織措施,盡力防範未經授權或不合法的處理方式,也須避免不慎遺失、摧毀或損壞資料。」

若以白話文解釋,這段法律條文的意思是:企業組織處理個人身分識別資訊 (Personally Identifiable Information, PII) 的方式,必須能夠防範資料遭竊、遭摧毀或不慎遺失等事故。所謂「採行相關技術或組織措施」的定義稍顯模糊,GDPR 法規撰寫人有可能是刻意避免釐清強制規定的安全防護措施,因為相關技術和最佳實務會不斷變化。

對我而言,這項規定似乎是在要求大家採行可靠完善的安全防護最佳實務,例如加密傳輸中或閒置中的資料、使用兩階段驗證,以及使用防篡改記錄技術追蹤存取資料的人員、時間和方法。企業組織過去若習慣採用無安全防護措施的 S3 Buckets 技術留存 PII,這項規定可能看似相當嚴苛,不過,實際改革起來並不至於大費周章,無論是否需要遵守 GDPR 規範,我都建議各企業採行這項措施。

第七項原則:責任歸屬

第六項原則是唯一明確著重於安全規範的原則,而最後一項原則強調的重點則在人人真正在乎的問題:後果。

第七項原則簡潔明了地載明「資料控管者應承擔遵循 [前幾項原則] 的責任並具備這種能力。」

未能確實遵循前六項原則的後果恐怕相當嚴重,最高可罰款 2400 萬美元或是全球年營收的 4%,以其中金額較高者為準。凡需收集、儲存或處理歐盟居民個人資料的企業組織,皆須遵循相關規範。無論貴公司的總部設於何處,概無例外。即便公司行號在歐盟地區並未設立實際據點,仍須遵循 GDPR 規範。 

不過,什麼叫做遵循規範?該如何展現您確實是遵循規範的優良企業?GDPR 並未說明企業該如何證明確實遵循了規範,這是因為產業類型不同、需要處理的資料不同,以及組織規模大小不同,所謂遵循規範的定義就大相逕庭。不過,無論組織規模是大是小,您一定要做好隨時接受稽核的準備。建議採行普遍的最佳實務,例如記錄安全事件及 PII 存取情形,以及進行內部稽核。

再者,建議進行業務風險評估,這項評估可以協助您發現任何漏洞,同時也能評估您是否需要加強或實施具體的安全管制措施。 

管理式檔案傳輸對於協助貴公司遵循規範有何助益

如前所述,只要貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵循「一般資料保護規範」(GDPR)。在這千鈞一髮的時刻,最佳措施就是保證個人資料傳輸過程中所用的系統、使用者驗證以及加密技術全數安全無虞,而且確實符合 GDPR 的規定。 

像 MOVEit 這般可靠的管理式檔案傳輸解決方案,可以運用許多方式協助貴公司遵循 GDPR。 

  • 自動檢查檔案完整性 (Automatic File Integrity Checking) 能夠檢查檔案是否遭到竄改,從而避免導致資料不正確的重大錯誤,同時也能避免任何人不當存取資料。
  • 加密傳輸中及閒置中的資料。MOVEit 採傳輸及儲存加密技術並行方式,一方面運用 SSL 或 SSH 加密傳輸中的檔案,另一方面則運用 FIPS 140-2 驗證合格的 256 位元 AES 加密磁碟中的閒置檔案。即使發生資料外洩事故,這些步驟仍然能夠保障檔案及您所處理的 PII 安全無虞。
  • 詳細的防篡改記錄功能,可以詳實記錄檔案傳輸活動,讓您確切掌握存取資料的人員、時間、地點及方式。如此一來,即使資料遭到篡改,您仍然能夠掌控大局。
  • 內建資料不可否認機制,這項機制可讓您證明上傳、下載了某個特定檔案的人員,也能證明上傳及下載的檔案完全一致,使您能夠查證每一位處理過某個檔案的使用者,並且提供可靠的存取記錄。

想要深入瞭解詳細資訊?歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵涵義:

遵守 GDPR 的七個步驟(英文)

檔案傳輸與 GDPR(英文)

英國脫歐與 GDPR(英文)

金融服務資料傳輸與 GDPR(英文)

另請觀看這部快速簡介七項資料原則的影片

Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.

評語

Comments are disabled in preview mode.
主題

Sitefinity Training and Certification Now Available.

Let our experts teach you how to use Sitefinity's best-in-class features to deliver compelling digital experiences.

Learn More
Latest Stories
in Your Inbox

Subscribe to get all the news, info and tutorials you need to build better business apps and sites

The specified form no longer exists or is currently unpublished.