企業應如何保護個人資料以達歐盟 GDPR 要求?
企業應如何保護個人資料以達歐盟 GDPR 要求?
隨著歐盟的「一般數據保護條例」(GDPR)於 2018 年 5 月 25 日生效,全球企業都必須了解企業於個人身份資料(PII)的儲存和使用情況。由於世界各地已發生數以千計的數據洩露事件,導致每年有數百萬條記錄被曝光。此外,最近的一項調查發現,少於一半(45%)的企業制定了合規的結構性計劃,而超過一半(58%)的企業則表示沒有充分意識到違規的後果。為幫助企業保護數據及符合新規格的要求,近日 SAS 便提供了 SAS for Personal Data Protection 方案。
不論是身份證號碼、社會安全號碼、電子郵件地址和出生日期等,任何收集個人數據的公司都必須識別資料儲存的位置,以便保護資料及在需要時刪除。隨著流動網路、雲端和社交網絡的興起,數據來源的數量和種類令 PII 更容易在未被授權的情況下盜取。
根據 GDPR,每個歐盟居民都有權知道他們的個人資料是如何被使用的,並且可以要求將其資料徹底刪除。這代表企業在儲存和/或處理歐盟消費者和員工數據時必須小心保護,不論數據儲存在任何地方。若違反條例,可能要負上高昂的代價,甚至要付高達 2200 萬美元或全球年度營業額的 4% 的高額罰款(以較高者為準)。
由於企業將很快便意識到個人數據是儲存在多個地方,所以尋找並鎖定這些數據並非易事,同時歐盟延長了 GDPR 要求的限期,為歐盟及其他地區的公司帶來很大的問題。SAS 的個人資料保護方案,提供企業工具來識別和管治個人數據,為新條例作好準備,同時亦幫助企業擴展和增強已投資的管理框架。
今次介紹的軟件和服務協助企業在整個生命週期中,尋找及識別所有個人資料數據,讓其得到合適的保護,企業採取以下步驟:
-存取:企業透過方案可以評估、存取和整合來自多個數據來源(如 Oracle,Apache 或 Hadoop)的數據類型。
-識別:無論 PII 位於何處,透過數據過濾、抽樣技術和演算法,可從結構性和非結構性的數據來源中識別和抽取個人數據。
-管治:數據管理軟件有助執行政策、監察數據質量及管理整個機構的業務。
-保護:將數據角色化,配合加密技術,可保障敏感資料,並將動態數據整合以避免數據移動,從而大大減低敏感數據暴露的機會。
-核對:為積極避免處罰和違規,互動報告可以來識別用家、數據來源和偵測 PII 類型。
處理個人資料是棘手的,尤其是當數據可以儲存在多個位置時。要成功管理任何數據,首先要存取並確定數據的位置,其後,再通過不同方案作數據管理、保護和審計,以確保適當的人員能擁有適當的存取權限,同時數據亦得到保護。