資安長(CISO)、隱私相關專業人士等負責安全和風險管理的主管,必須了解逐漸成熟的隱私法規,以確保公司營運符合隱私友善原則。
對許多企業而言,隱私是企業成功的一項關鍵紀律,受到眾多法令規範限制。近期歐盟施行一般資料保護規範(GDPR)後在全球激起漣漪效應,導致各地區隱私和資料保護法令逐漸成熟並趨於嚴格。許多國家在GDPR的影響下開始訂定相關法規,相信這股風潮將延續下去。這些隱私法規深切影響企業處理個人資料的策略、目的和方法;而違反規定會帶來財務、信譽的損失並背負法律責任。
負責安全和風險管理的主管必須特別留意2019年隱私趨勢預測,對此提高警覺,才能確保透明度並讓顧客安心。根據Gartner調查,到了2020年,個人資料備份及歸檔將成為企業組織最主要的隱私風險,占比達70%,遠高於2018年的10%。企業掌握大量內容敏感且易受攻擊個人資料備份,卻並不一定有明確用途。由於其敏感及易受攻擊的程度幾乎恆定不變,因此資料的數量是風險大小的關鍵,也是目前隱私風險最主要的一環。
隱私法規已針對違法行為制定刑責和嚴苛的罰款,讓擁有未使用的個人資料承擔昂貴的風險。未來兩年,企業若未能修正資料保存政策,主動減少擁有的整體資料量和資料備份,則會因未能合規而面臨極大的裁罰風險,並可能由於資料外洩而受到衝擊。以GDPR為例,違規罰款最高可達全球年營收的4%或2,000萬歐元(以較高者為準)。
另一項值得關切的議題是區塊鏈。Gartner預估,到了2022年,75%公共區塊鏈將面臨隱私中毒,亦即區塊鏈因其記錄的個人資料而違反隱私法規。區塊鏈極具發展前景,但企業若想導入此技術,必須了解使用的資料是否受隱私法規所規範。舉例來說,公共區塊鏈有不可竄改(Immutable)的資料架構,這表示一旦資料被記錄就無法輕易改寫或刪除。但隱私法規賦予顧客「(資料)被遺忘權」(Right to be forgotten)選項,亦即在許多案例中,區塊鏈上記錄的個人資料必須被刪除。
這一點立刻引發眾多疑慮,畢竟公共區塊鏈上的個人資料,一旦被記錄便無法替換、匿名或從結構中刪除;企業為求遵守隱私法規將無法保存資料記錄。考慮導入區塊鏈系統的企業,若在前期設計區塊鏈時沒有將隱私問題納入考量,便可能儲存到必須刪除的個人資料,最終犧牲區塊鏈的完整性。
到了2023年時,GDPR所帶動的同意證明(Proof-of-consent)實作中,超過25%會採用區塊鏈技術,反觀2018年只有2%。即使GDPR已自2018年5月25日生效,企業符合規範的程度卻各有不同。隨著完全合規的壓力日增,促使歐盟內部或者與歐盟有生意往來的企業組織進一步評估其資料蒐集流程;不過加速合規所需要的整合成本及技術,仍讓大部分業者傷透腦筋。
儘管區塊鏈在同意管理上的新興應用目前處於初期實驗階段,但不同的企業組織正探索如何有效地將區塊鏈應用於同意管理,因為通常區塊鏈在不可竄改和追蹤方面的潛力,或許可以提供資料保護和隱私法令合規所要求的追蹤和審計功能。
<本文作者:Bart Willemsen現為Gartner資深研究總監>