對於企業和公司而言,保護個人資料私隱非常重要。歐盟的《一般資料保護規範》,香港的《個人資料私隱條例》和美國加州的《物聯網安全法案》都是規範個人數據使用和電子設備安全的法例。以下將會從背景資料,覆蓋性,個人權利,刑罰和違規通知方面解釋這三條法例的分別。
背景
歐盟的《一般資料保護規例》由二零一六年開始生效。這條條例列明所有使用歐洲居民的個人資料的任何公司或企業都必須遵守法律。這個新的監管框架包括一些在香港的《個人資料私隱條例》中沒有找到的要求。對於香港的《個人資料私隱條例》而言,這條條例由一九九六年起開始生效,是亞洲歷史最悠久的數據保護條例之一。最近亦有一條新引入的法案,即美國加州的《物聯網》安全法案。其重要性在於那些「合理的安全措施」可以確保電子設備包含獨特的預編程密碼或者要求用家在授予訪問權限之前先產生新的身分驗證。
覆蓋範圍
在覆蓋範圍而言,歐盟的《一般資料保護規例》擁有最大的覆蓋性。這條規例適用於(1)在歐盟擁有企業的數據分析者或者是控制者而個人資料在企業*中的活動中經過處理。不論個人資料是否在歐盟中處理或(2)在歐盟沒有企業,但提供產品或者服務去監控歐盟裡面的居民。而對於香港的《個人資料私隱條例》,它只適用於單獨或共同或與他人共同控制在香港或從香港收集,保存,處理或使用個人資料的數據用戶(控制者/處理者)。而美國加州的《物聯網安全法案》則和以上兩條法例略有不同。這條法案沒有覆蓋個人資料的使用,反而主要關注在美國加州出售的物聯網安全設備,並且將物聯網安全設備定義為能夠連接到互聯網(甚至通過與另一台設備配對)和有網際協議和藍芽位址的任何設備或物體。 *企業:設有銷售辦事處,向歐盟的個人推廣,銷售,廣告或銷售商品或服務
個人權利
歐盟的《一般資料保護規範》有以下四個權利:(1)就資料處理獲通知的權利,(2)刪除個人資料權(「被遺忘權」),(3)反對處理(包括個人概況彙編)的權利,(4)限制處理及資料可攜權。與《一般資料保護規範》相比,人們於《個人資料私隱條例》享有的權利較少。這條例對數據用戶/控制器(處理器)的通知要求不那麼全面。 個人也沒有刪除權利,但是數據保留的時間不得超過必要的時間。他們也無權限制處理和數據可攜權,但是必須遵守數據取用和更正請求。此外,人們無權反對數據處理(包括配置文件),但可以拒絕直接營銷活動,而《個人資料私隱條例》包含規範數據匹配程序的條款。儘管與《一般資料保護規範》相比,《個人資料私隱條例》之下的人們似乎享有較少的權利,但他們仍然保留要求取用和更正其個人數據的權利。資料當事人還有權在執行匹配程序之前獲得同意。而《物聯網安全法案》,目前還沒有私有訴訟權的規範。
刑罰
就刑罰而言,《一般資料保護規範》授權數據保護機構對違反這條規範的數據控制者和處理者處以行政罰款。 刑罰取決於違規的性質。 不遵守較低級別的行政罰款可處以一千萬歐元或上一財政年度全球總營業額的百分之二的罰款,或處以二千萬歐元或上一財政年度全球總營業額的百分之四的罰款,如果不遵守上級行政罰款。對於香港的《個人資料私隱條例》,私隱專員無權處以行政罰款或罰款。 但是,私隱專員可以向不遵守條例的數據用戶提供執行通知,這可能會在司法程序之後受到處罰。 例如,未經數據用戶同意而洩露個人數據可能會被處以最高一百萬港幣的罰款和五年的監禁。 如果不遵守直接營銷要求,又將數據提供給第三方以獲取收益,則可處以五十萬美元的罰款和三年的監禁,或不超過一百萬美元的罰款和五年的監禁。對於美國加州的《物聯網安全法案》,它僅將執法權下放給加州總檢察長,市檢察長,縣法律顧問和地區檢察官。 法案也沒有明確規定要施加何種處罰,或最高處罰是什麼。
違反通知
就違規通知而言,它是數據用戶向受影響的資料當事人以及數據違規中的相關各方和監管機構發出的正式通知。在《一般資料保護規範》,組織必須提供數據洩露通知。 它要求公司在組織發現網絡安全事務後72小時內將數據洩露通知歐盟成員國的監管機構,除非該洩露不太可能對個人的權利和自由造成風險。相比之下,《個人資料私隱條例》則沒有強制性要求。但是,為了所有利益相關者(包括數據用戶或控制者和當事人)的利益,建議通知私隱專員。而對於加州的《物聯網安全法案》,目前尚無關於違規通知的規範。
總結
考慮到上述法律的重要性和數據洩露的風險,企業和公司有責任了解上述法律的適用範圍和處罰,以保護個人數據私隱。 根據《一般資料保護規範》第32條的規定,企業需要實施一個流程,以定期測試,評估和評估技術和企業措施的有效性,以確保流程的安全性。為了有效監控任何可疑流量和入侵,StormEye提供資訊安全監控中心和日誌管理的託管服務,以幫助企業滿足要求並保護其數據資產。 根據《一般資料保護規範》第33條的規定,企業要求在知道違規事件後七十二小時內通知個人數據違規。 資訊安全監控中心會生成警報並通知客戶有關事件的信息,以幫助企業在不良事件發生之前進行補救,並將事件通知主管部門。
#GDPR #PDPO #SB-327 #IoT #California #cybersecurity #cyber #security #privacy #data #dataprotection #data processing #datasubject #datauser #dataprocessor #breachnotification #Stormeye #SIEM #log
參考資料:
《個人資料私隱條例》: https://www.pcpd.org.hk/english/data_privacy_law/ordinance_at_a_Glance/ordinance.html
《物聯網安全法案》: https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327
