隨著科技及網絡發展日趨進行,每個人每天都可以產生大量數據,企業亦會儲有大量客戶的資訊,而當中有關數據的擁有權和使用權等都是非常重要的話題,一般發達國家就都設立個人私隱條例來保障市民的資訊,以免企業不法使用客戶資訊或把數據出售。
香港的《個人資料(私隱)條例》就列出六項保障資料原則,分別是 收集資料原則、資料準確及保留原則、使用資料原則、資料保安原則、公開政策原則各和閱及改正原則,嚴格監管企業從收集到使用,然後保安及公開等多個範疇,另外如日本、韓國、澳門及新加坡等地都有相關法例保障個人私隱。相反,中國尚未有法例保障私隱,在數據權利方面仍處於討論階段。而最令人感到詫異的是,美國國會眾議院竟在2017年初,表決推翻奧巴馬政府時期的一項網絡私隱條例,日後網絡供應商毋須客戶授權,就可出售客戶上網慣性等資料予第三方公司。
今年最受矚目的私隱條例應該是歐盟的通用資料保護規則(GDPR),由歐洲議會歷時4年的預備及討論,並最終在2016年4月14日通過,及在2018年5月25日全面實施。除了一些可識別資料例如客戶主動提供的個人資料外,以自動化方式收集、處理或利用的個人資料都包含在內,一些因應各種科技而衍生的一些個人數據,像是Cookie、IP位置、GPS定位等等,都屬於GDPR受保護的個人資料之一。其目的在於確保公企業要保障歐盟公民資料不會被外洩或遭到勒索軟體攻擊,其次是企業會按原有目的使用資訊,然後企業需給予市民有更改或刪除資料的權利,最後是企業的數據保安應達到一定程度。
GDPR 之所以能夠引起大家關注,其高額罰款想必也有關係,只要企業或組織令到歐洲民眾的個人資料遭到外洩,涉事企業或組織都必須在72小時內上報予Data Protection Authority,並且跟據外洩的資料敏感度,處罰不同金額的罰款,像是資料敏感度較低者,可能被罰1千萬歐元或全球營業額2%作為罰款;資料敏感度較高者,則可能被罰2千萬歐元或全球營業額4%作為罰款。
這條例與你有關係嗎?GDPR 適用於5類企業,快來看你是不是其中之一。第一類是在歐盟設有辦公室的企業,只要你在歐盟設立分公司或子公司,不管你在哪裡處理你的數據,都受這條例所規範;第二類是主要向歐盟公民提供產品或服務的企業,至於如何界定企業以歐盟國家為目標客戶群或營業點呢,GDPR 裡有明確的解釋,如果該網站主要使用的語言,是一個或多個歐盟國家所使用的語言;或者是使用歐盟國家的網域名稱,例如德國.de、荷蘭.nl等;又可以是該網站所出售的產品或服務的價格,是以歐盟通行貨幣或歐盟國家當地貨幣計算的話,就可以認定這個是以歐盟公民為目標的企業或網站。第三類是監測歐盟公民網路行為的企業,企業只要是針對在歐盟境內公民的網路行為進行收集、分析,即使這些企業並未在歐盟境內設立任何公司,同樣受GDPR 所規範。第四類是企業向歐盟公民提供產品或服務的營業額佔顯著比例,例如有香港公司向歐盟市民提供觀光服務,其收入佔總收入一定比例的話,同樣受到規範。第五類是基於合約或資訊鏈而接觸到歐盟公民資料的企業,例如一些數據中心,數據處理公司、數據網絡傳輸供應商等,他們都需要符合GDPR的要求。
隨著人們對數據私隱及權利的意識增加,企業也應該提高自身的數據道德概念。接下來我就和大家討論如何做到數據道德的標準。首先,我們要有責任意識,千萬不要在發生數據洩露事故後才意識到安全問題,企業可以與員工簽署保密協議,更好的是企業能與員工有共同的價值觀,避免矛盾的形成,亦可提高工作放率;企業亦應於數據庫加上防火牆、網絡保安系統等以及檢查所收集到的數據是否有多餘或敏感資存在。其次是企業要有加密意識,數據收集過程中必然有客戶的敏感性資料,這些都得加密處理,另外可以管理好數據存取權限,數據庫中的資料可設定為非所以員工都可以自由存取,敏感度越高的數據,就只有職級越高的人才可以取得。
距離GDPR 實施日期尚餘不足一個月的時間,企業應該把握這段日子,盡快優化公司的數據處理程序,至符合GDPR的要求,而事實上法律只是外加的壓力,員工只想著免墮法網,而非真心保障客戶資料,工作過程中當中難免會有遺漏,因此從企業文化做起,建立數據道德觀才是長遠之計。