全球诸多企业误认为自身满足GDPR要求

  全球多云数据管理解决方案领导厂商Veritas Technologies近期发布的研究显示,全球诸多企业误认为自身符合即将出台的《通用数据保护条例(GDPR)》要求。

  Veritas 2017 GDPR报告(第二章)指出,31%的受访者声称他们的企业已经满足该条例的关键要求。但当问及具体的条款时,这些声称已满足要求的受访者的回答却表明他们实际上并不满足合规要求。事实上,根据最近发布的调查,真正满足条例合规要求的企业只有2%,这一比例差距之大,表明大多数企业对条例应对准备存在一定的误解。

  Veritas 2017 GDPR报告(第二章)结果指出,在声称符合合规要求的企业中,大约一半(48%)的企业对个人数据并没有全面的可视性,更别提防止个人数据泄露。不仅如此,认为自身企业满足合规的61%受访者承认,自身企业难以识别个人数据泄露事件,并且无法在72小时内进行报告,但这一点却是GDPR条例的强制性要求。任何企业未能在限定时间内向监管机构报告个人数据泄露或被盗事件,例如病历记录、电子邮件地址和密码,会被认定为违反条例。

  该报告建议,认为自身满足GDPR条例合规要求的企业应该重新审视自身的合规政策。违反GDPR条例要求的企业将面临高达全球年收益额4%或2000万欧元的罚款,以金额最高为准。

  离职员工的隐患

  限制离职员工访问企业数据,并删除他们的系统访问权限将能够帮助企业拦截恶意活动,减少经济损失和信誉损失的风险。令人惊讶的是,在自称满足合规的企业中,大约50%的企业表示离职员工仍可以访问企业内部数据。Veritas的研究结果指出,即使是最有实力的企业也难以控制离职员工的访问权限问题,并且面临潜在的攻击风险。

  难以履行的“被遗忘权”

  根据GDPR条例规定,欧盟居民有权请求企业从数据库中删除自己的个人数据。但是,Veritas调研指出,很多自称满足合规要求的企业,仍无法搜索、查找和删除个人数据,无法满足“被遗忘权”的要求。

  在认为自身满足GDPR要求的企业中,18%的企业承认无法清除或修改个人数据。另有13% 的企业坦言,他们无法搜索和分析个人数据,因此无法发现数据与个人用户的公开和非公开的关系。不仅如此,他们也不能准确显示数据的存储位置,这是由于企业并未明确划分数据来源和存储库。

  这些问题表明企业有可能无法满足GDPR条例的要求。企业必须确保个人数据仅用于当初的收集目的,一旦不需要这些个人数据,应该立即删除。

  解密GDPR条例责任

  Veritas的调研还发现,企业对云环境中存储的数据的相关责任普遍存在误解。大约一半(49%)认为自身符合GDPR条例的企业认为,云服务提供商是确保云中数据满足合规要求的唯一责任人。但事实上,该责任由数据控制方(也就是企业)承担,企业应该确保数据处理方(云服务提供商)能够满足GDPR条例的要求。当GDPR条例生效后,这种数据保护认识错觉可能会造成严重的后果。

  Veritas公司执行副总裁及首席产品官Mike Palmer 表示:“GDPR条例即将生效,跨国企业应该严肃认真地对待数据管理。最近的研究结果显示,企业对满足条例的必备条件感到困惑。随着生效日期愈加临近,企业需要尽早消除错误的认识。”

  他还表示:“在面对类似于GDPR条例时,企业首先需要了解自身企业所拥有的数据。同时,企业还需要清楚知晓该如何采取措施,以及如何分类数据,并部署相应的策略。这些都是合规的基本要求。我们当下的研究结果能够帮助企业了解自身的错误认知,帮助企业避免由于违反条例而带来的破产等严重后果。”

  GDPR条例旨在统一欧盟成员国之间的数据隐私和保护,强制要求企业采取正确保护措施和流程,以有效管理个人数据。GDPR条例将于2018 年5月25日生效,这一条例覆盖所有向欧盟居民提供货物或服务,或监控其商业行为的企业,无论公司的营业地点是否位于欧盟地区。

第 1 /  10 页
点击查看余下全文