号称史上最严格的欧盟新版个资法「欧盟通用资料保护规则(GDPR)」25日正式上路,其规范之广、罚则之重,让不少大陆企业惶惶不安。调查发现,预估今年每家企业约需投入130万欧元以满足GDPR的规定,再加上中兴通讯遭罚的前车之鑑,料将倒逼大陆企业从源头建立使用者资料安全体系。

存储在线报导,由于GDPR的适用范围扩展到「属人管辖」,也就是所有收集、存储或处理欧盟境内任何居民的个人资料的组织及企业,都需遵守此一新规。若是违规,将面临高达2,000万欧元或全年总收入的4%的巨额罚款,让企业不敢轻忽。

根据资讯软体服务商Veritas在2017年针对GDPR所做的调查,全球高达47%企业担心无法在GDPR条例生效之前满足合规要求,还有18%的企业忧心未能满足合规要求,将导致公司破产。调查还发现,为满足GDPR的标准,平均每家企业在2018年将投入130万欧元以进行改善。

南方都市报报导,对于积极「出海」的大陆企业,一旦违反GDPR的代价不仅在鉅额罚款,业内人士分析,「其最大的风险是失去欧洲市场准入机会和用户的信任」。

专家指出,值得注意的是,GDPR在保护个人隐私有许多细节规范,包括用户可以享有访问、更正、删除、限制处理、资料可携和拒绝等处理个人资料的权利。也就是说,相关企业在产品和服务的初始设计阶段,就必须将资料与隐私保护考虑在内。

由于大陆多数企业没有类似的基础,传统大企业更是受制于自身的组织架构与业务规模,难以快速建立起由上到下的隐私保护体系。这些企业只能对照GDPR的条款要求,逐一採取应对措施,逐步修订和补充其隐私政策。

有陆企反应,GDPR规定的「72小时内报告资料泄露事件」是最难实现的规范之一。为了达满足新规,企业必须建立完善的资料监控机制,即时发现内部违规操作和外部入侵行为,对企业来说是一大成本投入。

报导称,工信部赛迪智库网路安全研究所助理研究员魏书音表示,未来,C 2C模式下的电子支付、电子商务,以及云服务、区块链、大数据徵信等服务,涉及使用者个人资料的收集、控制、处理及利用会更加频繁。企业必须在符合GDPR监管又能寻求商业利益间的找到平衡。

#企业 #GDPR