現行各個不同的行業有不相同的資安合規要求,而目前比較積極的規定或法律將分別來自於:
金管會檢查局所屬電腦稽核二大方向
為了滿足身份識別治理法規和管理風險要求,企業對於其員工的任何系統訪問權限進行儲存、盤點、分析和管理。如果不管理用戶對敏感系統、個資的訪問權限,公司的審計風險,財務詐欺或資料洩露風險就會增加。
獲取審核和身份認證過程是整體身份識別治理計劃的重要工作。然而,回答關鍵問題“誰能夠接觸到什麼?”是一項挑戰。諸如移動設備,數量龐大的應用系統、提款機、雲端應用等新興技術推陳出新,同時企業內部的組織變化與合作夥伴的組織變化,也會連動身份識別的治理,這個存在的問題變化越來越嚴重也越複雜,必須尋求更有效的治理方式來開展接入認證工作.然而各金融單位對於金管會所要求的帳號、個資清查盤點工作,各事業體大體上平均約需要花費1-2個月才能完成所有盤點工作,這仍對於內幾內控仍處於高度風險,而戴壟科技將可協助金融企業以最快的速度縮至1-3天完成金管會檢查局所要求的時間範圍。
號稱是有史以來,外洩個人資料罰金最高、個資涵括範圍最廣,以及處罰規定最嚴格、罰金最高的「歐盟通用資料保護規則」( EU General Data Protection Regulation,GDPR),即將於2018年5月25日正式實施。
剩下不到九個月的時間,不管你的公司或組織是否座落在歐盟共28國境內,只要你的網站或服務會提供歐盟民眾瀏覽使用,或者是會搜集、處理和利用歐盟公民資料的企業或組織,都將強制遵守這個歐盟新版個資法的規定。
一旦爆發有歐洲民眾的個人資料遭到外洩,外洩的企業或組織,除了必須要在72小時內通報資料保護主管機關(Data Protection Authority)外,更有甚者,依照外洩個資情結輕重,還可能被罰款1千萬歐元(新臺幣3.6億元)或全球營業額2%作為罰款,或者是被罰款2千萬歐元(新臺幣7.2億元)或全球營業額4%作為罰款(取其金額較高者,作為罰款)。
這股來自歐洲的法遵壓力早就悄悄吹進臺灣,除了早就主動因應歐盟法遵要求的少數跨國企業之外,第一波感受到這股法遵壓力的產業,大致是以航空海運貨運承攬業、連鎖飯店業、高科技製造業和金融業,以及有設立歐洲分公司或子公司的企業為主。
反倒是許多具有會員申請功能的電商網站、網路服務,幾乎沒人意識到GDPR的嚴重性。因為一旦你的網站有歐洲民眾來申請,留下了他們的個資,不論是否在歐洲設立公司,網站負責企業、組織或政府單位,都在循歐盟通用資料保護規則的規範範圍。當然,不只臺灣,全球都得面臨GDPR的規範和衝擊。臺灣勤業眾信風險諮詢顧問公司總經理萬幼筠甚至直言說:「GDPR就是歐盟對世界各國的資料保護規定。」
為何歐盟GDPR有這麼大的威力?
為什麼一個效力及於歐盟28個成員國的規章(包含已經從2017年3月29日已經啟動脫歐程序的英國),會有這麼大的影響力?世界各國都必須重視這樣的規章呢?最重要的原因當然和經濟實力有關係,歐盟目前人口超過5億人,是全世界人口密度第三高的經濟體;人口多表示具有購買力,全球購買力排名第18名。加上歐盟長期以來的傳統,向來關注民眾的個資隱私保護,也使得歐盟通用資料保護規則(GDPR)從2016年5月25日正式生效,並給歐盟各國2年的緩衝過渡期,預計在2018年5月25日正式實施。
歐洲傳統對於個人隱私保護的規範就相對其他國家嚴格,1953年9月生效的「歐洲人權公約」中的第8條,就是明確規範保障隱私權的條文,條文中便規定:「每個人的私人及家庭生活、其家庭以及其通訊隱私的權利與自由必須受到尊重,若需要對此做出限制,則必須符合法律規定且為民主社會所必需。」
歐洲人權公約顯示歐洲民眾對個人隱私保護悠久的歷史,到了1995年則制定了歐盟個人資料保護的法規基礎「歐盟個人資料保護指令」(EU Directive 95/46/EC : the Data Protection Directive),這也是歐盟後來許多個資保護相關法律規範的基礎。
