本报记者 冷翠华
一部用来保护欧盟公民个人隐私和数据安全的新法案——《一般数据保护法案》(GeneralDataProtectionRegulation(GDPR))已经于2018年5月25日正式生效。这部法案早在2016年4月就经欧洲议会审议通过,其颁布使得欧盟对于数据保护的监管达到了前所未有的高度。考虑到很多新的规定出台需要时间消化和准备,以及操作具有一定的复杂性,该法案给予了企业两年的过渡准备期。
不过,遗憾的是,从市场调研机构统计的结果来看,企业做的还远远不够。市场营销公司Hubspot于2017年第三季度对欧洲五个国家的363位企业高层管理人员做的问卷调查显示,仅36%的调查对象听说过GDPR,不到一半的人表示公司已经开始进行相关的合规整改工作,有22%的人表示公司还没有为GDPR做任何准备。
根据GDPR法案,从2018年5月25日之后,在GDPR法案管辖范围内的企业如果再对信息安全“无为而治”的话,将会面临最高达2000万欧元的罚款。
值得注意的是,GDPR不但适用于在欧盟国家注册的组织,也同样适用于任何在欧盟以外地区注册但为欧盟地区提供商品和服务,并监控个人行为和数据信息的组织机构。对于任何持有和处理欧盟国家公民个人信息的公司,无论其公司所在地,皆受该法案管辖。这就意味着所有与欧洲企业有业务往来的中国企业也同样要遵守该法案并受其管辖。
另外,相较于国内《网络安全法》100万元人民币的单项罚款上限,GDPR最高2000万欧元的罚款对于违法企业来说违法成本将大大提高,将是一项极难承受的损失。
苏黎世财产保险(中国)有限公司金融险部专家表示,GDPR法案生效确实增加了企业对信息保护的责任和义务,企业面临着更大的经营风险和合规风险。不过,企业也不必如临大敌,谈GDPR色变。GDPR具体、详尽的规定对企业实际操作提出了明确的指导。网络安全保险是企业完善自身信息保护规范同时的又一道保护屏障。当GDPR来临之际,很多企业开始关心是否需要投保网络安全保险作为风险管理的一种手段,以及一旦发生信息泄露事故自己的网络安全保险保单会如何应对。
苏黎世中国金融险专家介绍说,网络安全保险就是一份保障企业发生网络安全事故和信息泄露事故造成的第一方损失和第三者责任的保单。相比于传统保险,网络安全保险更加强调服务属性,除了保单合同本身提供的损失补偿外,还为投保企业提供各种附加服务,包括网络安全知识培训、网络风险远程/现场评估服务等事故前服务,以及7*24小时报案电话、IT专家鉴证服务等事故后服务。
同时,保障内容还可随着科技发展和客户需求与时俱进,目前在人员伤害财产损失,网络金融犯罪,社交工程,网络恐怖主义等保障方面正在进行进一步探索扩展。对于自身相对比较缺乏问题解决能力的中小企业来说,这些服务内容往往显得更加重要。
苏黎世中国金融险专家指出,在日益完善的法律环境下,保险作为健全风险管理体系中的重要性更加凸显出来,值得企业加强关注和投资。网络安全保险的价值不仅仅体现在对于损失的补偿上,还包括其所能给企业带来的如何应对网络风险以及数据泄漏事故的专业知识和经验,以及各种专家资源。
当然,保险并不是万能的,苏黎世中国金融险专家强调,一家信息安全管理到位的企业,需要有完善的管理架构,完整的内控制度,认真贯彻执行的纪律,定期的系统安全检测和威胁漏洞修复,定期评估公司的危机响应管理方案、灾备计划、业务可持续性计划是否有效,最后还包括合理地应用各种风险管理工具,以及员工要接受相关培训并具有良好的日常安全意识等多种要素的全面配合。
京公网安备 11010202007567号京ICP备17054264号
