歐盟資料保護規範(GDPR)即將在今年5月25日生效,無論企業總部位於何處,所有控制或處理與歐盟公民有關的個人資訊單位都必須遵守要求,目的在改善個人資料安全並加重對資料洩漏的問責,罰款金額最高可取全球年營業額的4%或2,000萬歐元(2,450萬美元)中的較高者。
根據GDPR定義,個人資料是指與可識別的自然人(資料主體)有關的任何資訊,包括姓名、所在地、照片、生物特徵資料、財務以及醫療細節和線上識別碼,如IP位址或設備ID等。依規定,「資料控制者」為收集個人資料以供自己使用的單位,「資料處理者」則是以資料控制者之名(如雲端服務提供商),負責以安全的方式處理個人資料的單位,尤其著重在管理、加密和匿名方面。
為此,GDPR增加資料處理者的責任,同時要求資料控制者須負責保護個人權利及個人所參與的處理行為。處理者和控制者不僅需知道單位內存在哪些個人資訊,還要知道在哪裡以及如何存取、使用。GDPR也要求資料管理員在發現問題後的72小時內報告違規行為,保存資料處理活動紀錄,指定資料保護人員並滿足個人有被遺忘權利。
終端使用者尚未做好準備
即使個人資料權利是GDPR的基礎,但消費者不一定會採取足夠的措施保護自己。據Gemalto公司調查結果,62%的人認為握有消費者個人資料的企業應為其安全性負責,特別當GDPR實施後,企業須被迫遵守資料安全協議,否則不僅將面臨大筆罰款的營業損失,還得面對消費者的法律訴訟。
然而,Gartner估計,受到GDPR影響的企業中,有超過50%的企業在2018年底前未能完全符合要求。美國資安公司Imperva針對網路安全專業人員的調查也顯示類似結果,近半數受訪者表示,單位內沒有人為GDPR的實施預作準備。
根據Gemalto和Ponemon Institute對雲端安全的研究,95%的全球性企業已採用雲服務進行資料存儲,儘管有53%的受訪者表示已使用多重身分驗證來保護資料存取,但只有36%會針對敏感資料進行加密或標記。全球一半的受訪者都認為,支付資訊和客戶資料在雲端存取時有風險,更有57%的人認為使用雲服務會有違反隱私法的疑慮。
對影像監控的影響
在GDPR所適用的個人資料類型中,影像監控應用收集的資料可能最為敏感,因其具有侵入性。根據Genetec發表的白皮書內容,依照GDPR規範,個人隱私必須在產品開發時就考量設計,而非附加功能。報告指出,GDPR中的隱私設計義務需採取系統工程方式對應資料保護原則,例如加密和影像匿名化等,必須在系統設計之初就納入。
白皮書也指出,資料管理員將負責確保在預設值情況下收集最少量的資料,不斷錄製且無限期存儲圖像的影像監控系統將違反此規定;因此,資料控制者將需要採用具備多功能的影像監控系統,提供更具彈性的錄影功能,能控制影像的保留時間。
從系統整合商的角度來看,Stanley Convergent Security Solutions在其白皮書中建議資料控制人員應持續接受教育訓練,需意識到影像資料受到不斷變化的網路威脅,並提出預防和對應計劃。報告亦指出,資料控制者應要求整合商對所有影像監控設備進行常規漏洞測試,測試所有相關的協議、硬體和韌體,以確保所有設備都已更新至製造商建議版本。文件還強調單一密碼的重要性,並要求整合商另外配置網路連接埠(Port),而非單純使用網路攝影機製造商出廠設置的連接埠。報告描述,連接埠-影像資料和其他資訊傳輸的邏輯基礎設施路徑,容易成為駭客企圖侵入的目標。
在GDPR所適用的個人資料類型中,影像監控應用收集的資料可能最為敏感。
系統商的因應做法
面對GDPR,系統提供商需要將隱私設計和隱私原則納入其產品開發預設值,以滿足法規要求;設計隱私規範則是在整個產品生命週期中考慮如何保護資料。另一方面,預設值情況下的隱私設定也代表系統的設計和配置具本質上的安全性,藉由隨時採取最嚴格的隱私設定,為每個流程和用戶提供最低限度下必要的存取活動與功能。
安訊士網絡通訊中歐地區總監Edwin Roobol表示,使用者主要負責確保使用任何設備處理個人資料的行為都符合GDPR標準,Axis的作法將是「向客戶解釋GDPR施行的重要性,以及對Axis應用程序相關的影響。例如,在GDPR規範下,誰應負擔使用應用程序的責任,客戶又需要採取哪些措施來確保合乎規定。不過,重要的是要注意,這些資訊的目的在於告知客戶正確方向,而不是提供法律建議。最終目標是讓客戶為實際達到GDPR規範所採取的必要措施感到滿意,在其過程中獲得莫大幫助。」
至於Axis提供的服務,Roobol則指出,「GDPR規範依服務交付方式有不同的影響範圍,對於使用Axis託管服務的客戶,Axis和客戶以及客戶的客戶需共同承擔責任。例如,在Axis代表合作夥伴或客戶充當個人資料處理者的情況下,三方都必須執行所謂的資料處理者協議,以明確界定Axis和合作夥伴、客戶間在個人資料控制者和個人資料處理者的角色。Axis正大規模展開GDPR實施範圍,以便為GDPR規範建立穩健的模式。
Genetec歐洲業務發展總監Jean-Philippe Deby認為,不夠專注致力於確保影像監控、存取控制和其他實體安全系統規範是令人擔憂的問題,因為仍存在許多老舊的安全系統,這些系統可能完全委託給特定地點的團隊運營,幾乎沒有IT部門參與或監督。「要加入GDPR,人員訓練及流程規範跟技術能力一樣重要,我們目前的挑戰是,參與並教育我們的技術合作夥伴、顧問、整合商和使用者,並進行差距分析,依照新規定來確定什麼可行,哪些可能需要改進。由於我們採用開放式平台,在大多數情況下,我們可以幫助客戶升級現有系統,而不是『拆卸和更換』。」
Mobotix資料保護專員Ulrich D?rr也表示,新法律帶來的最大優勢之一是企業可根據適用於歐盟的單一標準開發產品,而非遵照不同國家混亂甚至是衝突的法規。「Mobotix採用雙層分銷模式,分銷商和安裝人員直接與終端用戶合作。我們一直在努力確保流程、軟體和硬體產品具有相應的工具、選項和設置,以幫助他們創建符合新法律和法規的安全解決方案。我們在每個攝影機系統中直接提供演算法和運算能力,以確保經過安全處理後的資料接近原始影像資料;影像資料直接記錄在攝影機中的可能性,能減少儲存和傳輸個人資料量,也符合GDPR的資料最小化原則。」
然其他資料來源也需要被保護,例如連接到企業影像監控系統的ATM或銷售點終端。D?rr補充,「GDPR強調交易憑證與相關客戶形象間的相關性以及資料在不同系統間傳遞的方式。在這個例子中,配置一台攝影機作為時間伺服器,並將這個時間元素與IT網路中所有其他元素同步,在簡單性、可靠性和準確性方面提供了許多優勢。」
持續發展
資訊情報的可訴訟性,使資訊安全議題備受關注,這也是GDPR實施的目的。GDPR在資料管理方面造成思維與行為模式的轉變,並對資料收集/使用單位施加最嚴格的資料隱私法律框架,這很可能代表著全球法規的未來發展趨勢。為了遵守GDPR,資料控制人員必須證明在個人資料處理活動中所有決策的責任和透明度。與此同時,GDPR亦推動雲服務市場的強勁增長,授權資料存儲專家將可幫助企業符合規範義務。