觀點分享

個資成為未爆彈?企業可做三件事管控風險

2018年6月13日
| 台灣

韋萊韜悅企業風險管理與經紀服務 執行副總經理/法務長 黎曉鵬

「聽說歐盟對於保護個人資訊,施行了更嚴格的法規。到底有多嚴格?」「歐盟這麼遠,他們頒行一套法規,對台灣企業有影響嗎?」「我的公司有沒有被裁罰的風險?該怎麼因應?」

近來好些產業界的朋友之間討論起這個話題,甚至向我詢問。其中幾個較重要的問題,值得寫出來和讀者分享。

實質效力

先回答個問題:歐盟的規範,對台灣企業有影響嗎?
歐盟於 2016 年頒布「通用資料保護規範」(General Data Protection Regulation, 縮寫:GDPR),在 2018 年 5 月 25 日正式生效。雖然台灣顯然不在歐盟區範圍內,但可別忽視它的效力,因為它的效力不限地點,而是及於所有的「歐盟居民」。

無論您的企業是否在歐盟設立營業據點,只要客戶或員工之中有歐盟居民,就被歐盟納入適用 GDPR 的範圍。若有違反,經歐盟居民提起控訴,就可能會被歐盟當局裁罰。最高可罰 2000 萬歐元,或年營業額的 4% -- 很多公司財務上可能禁不起這麼沉重的裁罰。

有人好奇:就算歐盟裁罰了,台灣企業就置之不理,能奈我何?
還真別大意。歐盟當然不會當沒牙的紙老虎,他們有不少對外國公司進行強制性處理的方法,例如在歐盟區封阻該公司網站,也可能透過外交途徑、跨國司法互助,影響台灣政府等方式,而台灣政府相當可能願意配合歐盟。

這也是為什麼,全世界都很嚴肅看待歐盟 GDPR 的生效。

風險情境

部分產業手上握有大量客戶個人資料,受 GDPR 影響較大,例如金融銀行、電商商務、航空公司。但其他各種產業也不能掉以輕心,例如製造業,只要有歐盟客戶的個人資訊,就會曝露在風險之中。

舉個例子來說:歐盟 GDPR 要求企業,用極高的隱私權標準處理任何個人資料:企業取得與運用客戶的個資,需要取得明示同意。而且客戶得以隨時收回個資,並且要求企業清除一切備份— 是為「被遺忘權」。任何歐盟居民覺得他的個資被企業濫用,他可以向歐盟當局舉發,企業就面對了訴訟與裁罰的風險。

企業也需極力提防人為竊盜、外洩個人資料。客戶的個資已是具有市場價值的商品,倘若企業中管理人員不敵誘惑,盜賣公司客戶資訊,公司必須告知所有權益受損的客戶;否則,也將面對高額的賠償與裁罰。

風險管控

要如何管控、降低違反 GDPR 的風險呢?
首先,歐盟要求掌握大量客戶敏感個資的企業設置「資料保護官(Data Protection Officer, DPO)」負責確認企業運作符合規範。

此外,需要重新設計員工訓練— 所有員工都該有個資保護的意識,資訊安全職責也要加強。客戶個資更是需要高強度加密保護,例如在多人同時解碼授權的情況下,才允許傳輸與拷貝。

第三則是「保險」— 投保項目可能包括個資外洩時聯絡大量客戶的費用、對客戶的賠償金、面對資安事故及相關訴訟時的外部專家費用、政府罰鍰,以及發生此等資安事故時對企業本身營運所產生的衝擊影響。量身打造的保險方案,將有助於轉嫁此等相關風險。

欲了解更多網路風險,請下載網路風險手冊
欲進一步了解GDPR風險管控,歡迎聯繫韋萊韜悅企業風險管理與經紀服務團隊:

Lawrence Li 黎曉鵬
+886 2 8726 2809

Vivian Chang 張玲綺
+886 2 8726 2810