歐盟GDPR(General Data Protection Regulation,一般資料保護規範)的施行甫屆滿一年,根據Infosecurity Europe在推特做的民意調查,大多數IT安全專業人士認為GDPR不合規是稀鬆平常的事。Infosecurity Magazine的記者根據該民意調查,提出施行成果的觀察和訪問,本文就其文章做重點摘要。
超過6,400名網路安全從業人員回應推特的民意調查,約68%的受訪者認為許多組織可能沒有認真看待GDPR,而將近一半(47%)的受訪者表示監管機構在執法方面過於寬鬆,而最近一項研究顯示,訊息委員辦公室(Information Commissioner’s Office, ICO)在2018年5月至今年3月期間調查到11,468起資料外洩案件,但僅有0.25%(約29件)遭到罰款。從好的方面來看,只有約38%的受訪者認為,合乎GDPR規定會妨礙其他網路安全計畫。
總部位於英國倫敦的Osborne Clarke國際法律事務所合夥人Mark Taylor聲稱,許多組織目前將重點放在GDPR「合規的可行性」(practicalities of compliance),但對於跨國公司來說,GDPR的複雜性正一一浮現檯面。首先,他認為一個大的企業組織很難準確地確認不同的角色(如資訊控制員和資訊處理員),但這部分又十分重要,因為它決定了集團成員的相對責任,以及哪個監管機構對他們擁有管轄權;其次,Taylor觀察到,歐洲各國的律法已採用各種GDPR的變形,其程度遠比預期中來的更大,雖然GDPR使國際合規性變得容易,但不幸的是,它並不是在所有地方都能一體適用,不同司法管轄區的監管機構正採取不同的執法方式。展望未來,他認為各國將會加強執法行動,而進行高風險處理的公司可能會面臨最大的風險。
Photo created by d3e
