歐盟的《通用數據保障條例》(GDPR)早前正式推出,嚴格規管個人資料的蒐集、處理、儲存及傳輸,以及數據洩露的通報,特別對客戶來自歐盟地區的企業而言,條例的推出促使他們及早審視現有數據檔案的保安水平,並考慮更新全面的保安方案,方能安枕無憂,以回應條例之要求。
究竟GDPR的推出,對香港企業有何影響?條例明確地表明,於特定的情況下,非歐盟地區的機構亦須遵循有關規定,特別針對支援多元化交易模式(如網上交易)的業務,因其交易模式可能會接觸到歐盟境內客戶,故此企業必須確定條例是否適用,並予以遵循[1]。以下四項為香港企業開展網上業務而可能受GDPR影響的情況[2],違例者會被罰最高2,000萬歐元或企業全球營業額的4%作行政罰款[3]
- 本港企業沒有在歐盟設立據點,但透過位於美國的網站,向全世界提供免費社交媒體服務;
- 本港酒店預約業務,於網上利用cookies追蹤世界各地客戶的瀏覽活動,以提供合適的酒店廣告;
- 本港花店可提供網上訂花及只限本地的送花服務,網上客戶(包括歐盟居民)付款時,可以選擇歐元作貨幣;
- 本港零售網站接受網上客戶(包括歐盟居民)訂購貨品,但貨幣只限港元,送貨地點亦只限本港
按此下載理光白皮書,了解更多「燃亮智能工作間」的好處!
故此,企業要確保不牴觸條例處理文件數據的話,建議必須檢視現行的數據保安政策、文件建立及其流程管理,並採用具備以下保安原則的文件流程方案[4],以遵循GDPR要求。
企業不妨考慮採用具備保安效能的企業內容管理方案(ECM)。這個方案本身透過一站式的文件資源庫,以索引標籤方式供員工搜尋林林總總的檔案,並能把 自動化文件傳送至相關部門的主管審批,加快文件流程效率,再透過以下四方面的ECM保安效能,企業在文件往來的途中更能保障文件及數據。
特點一:針對員工存取權設限
為不同級別的員工設置瀏覽及存取文件的權限,例如初級的行政員工不能檢視主管級的檔案;同時每個員工都設有獨特的安全認證,即使員工把密碼共享給他人,對方亦無法存取檔案[5]。
特點二:針對檔案本身設定
為重要機密檔案建立保安標籤,方便識別,只有獲保安授權的員工才可瀏覽,而且有保安標籤的檔案將無法遷移至較低保安水平的檔案資料夾;文件亦可以加密形式傳送[6]。透過這個功能,非授權員工自然無法瀏覽一些存有歐盟用戶個人資料的檔案,如會員資料 。
特點三:為整個系統設定
為個別數據、數據群甚至整個數據庫提供加密,令企業的數據保護更周全,而且支援SSL/TLS加密,即使檔案於網絡傳送期間被截取,第三者也無法輕易解密,取得檔案資訊。[7]
特點四: 保安效能符合業界認可標準
如遵循GDPR(通用數據保護條例)的數據保護標準 —— 要求工作流程自動化的過程中,必須具有檔案審計追蹤(Audit Trail)及保安工具(Security Tool)支援[8]
了解更多:Ricoh - Laserfiche
資料來源:
[1] https://www.pcpd.org.hk/tc_chi/data_privacy_law/eu/files/eugdpr_c.pdf p.2
[2] https://www.slaughterandmay.com/media/2536623/wider-reach-of-the-gdpr-what-hk-businesses-should-know.pdf (page 1, paragraph 1, table)
[3] https://www.slaughterandmay.com/media/2536623/wider-reach-of-the-gdpr-what-hk-businesses-should-know.pdf (page 6, paragraph 3)
[4] https://www.laserfiche.com/ecmblog/gdpr-compliance/(Refer Table)
[5] https://cdn2.hubspot.net/hubfs/490680/Laserfiche%20Security%20Factsheet.pdf (page 1, paragraph 1)
[6] https://cdn2.hubspot.net/hubfs/490680/Laserfiche%20Security%20Factsheet.pdf (page 1, paragraph 3)
[7] https://cdn2.hubspot.net/hubfs/490680/Laserfiche%20Security%20Factsheet.pdf (page 2, paragraph 1,3,5)
[8] https://www.laserfiche.com/ecmblog/gdpr-compliance/ (Paragraph 3)