【25/5GDPR生效】企业要做足保护个人资料措施

欧盟将于本月 25 日实施最新修订的“一般资料保护规例”（General Data Protection Regulation，GDPR），加强保护个人资料及应付近年云端、物联网及大数据等资讯科技发展所衍生的隐私问题。此新例适用于全球范围，位于欧盟境外的企业若拥有属于欧盟公民的客户，都必须遵循法例，否则面临巨额罚款。

虽然此规例即将生效，但大部分于欧盟市场营运或需要获取个人资料作重要交易的亚太地区企业，仍未做足充分准备。根据安永（EY）第三届双年度安永全球法医数据分析（Global Forensic Data Analytics）调查显示，亚太地区只有12%企业制定了 GDPR 合规计划。

Fortinet 香港、澳门及蒙古总经理冯玉明表示，GDPR 会影响私营企业和公共部门如何处理个人数据，但某些关键行业，由于本身处理太多个人数据，将受更大影响。当中包括在国际营运的电子商务企业及为大量为欧盟游客、旅客或外籍人士提供服务的公司。

零售、医疗、金融最多资料

她列举零售、医疗保健及金融服务为首三大最受GDPR影响的行业。零售包括跨境电子商务营运、零售连锁店、招待服务、旅游和餐饮业务。就算是使用信用卡或借记卡付款、提供送货地址及参与顾客忠诚计划，该属 GDPR 的保护范围。医疗保健则必需得到病人同意的情况下，企业才可以收集和处理个人医疗讯息。至于金融服务大多会有大量个人营销数据，以及评估商业和个人客户的信贷信用资料。

为 GDPR 做好准备的企业，必须重新调整其业务流程和 IT 架构，避免客户的个人资料曝光。她建议亚太地区企业应采取以下步骤，加快符合 GDPR 规例：

1. 聘请第三方公司评估数据保护措施。

2. 实行全面数据审计，了解数据来源，如何收集和处理。当中应该包括记录受 GDPR 影响数据的储存位置、网域系统之间的通讯方式，以及任何外部云端或第三方数据托管人。

3. 确定数据泄漏检测和迁移所需的时间，以及为了符合 GDPR 要求而改进这些流程的必要条件。

Veeam 则在以上三点外提醒企业要有持续的监测和审核数据保护流程，这有助企业审查和改进。随着企业对保护数据隐私的责任不断增加，企业必须确保数据的可用性、质素及安全性，不断地改进以确保合规性。

虽然 GDPR 的罚则很重，但也为数码世界带来新气象，而数据亦成为这个年代最珍贵的资产，企业应该视这为一个机会，重新检视整个数据保护及储存方式，与世界同共前进。