企業應如何保護個人資料以達歐盟 GDPR 要求？

隨著歐盟的「一般數據保護條例」（GDPR）於 2018 年 5 月 25 日生效，全球企業都必須了解企業於個人身份資料（PII）的儲存和使用情況。由於世界各地已發生數以千計的數據洩露事件，導致每年有數百萬條記錄被曝光。此外，最近的一項調查發現，少於一半（45％）的企業制定了合規的結構性計劃，而超過一半（58％）的企業則表示沒有充分意識到違規的後果。為幫助企業保護數據及符合新規格的要求，近日 SAS 便提供了 SAS for Personal Data Protection 方案。

不論是身份證號碼、社會安全號碼、電子郵件地址和出生日期等，任何收集個人數據的公司都必須識別資料儲存的位置，以便保護資料及在需要時刪除。隨著流動網路、雲端和社交網絡的興起，數據來源的數量和種類令 PII 更容易在未被授權的情況下盜取。

根據 GDPR，每個歐盟居民都有權知道他們的個人資料是如何被使用的，並且可以要求將其資料徹底刪除。這代表企業在儲存和/或處理歐盟消費者和員工數據時必須小心保護，不論數據儲存在任何地方。若違反條例，可能要負上高昂的代價，甚至要付高達 2200 萬美元或全球年度營業額的 4％ 的高額罰款（以較高者為準）。

由於企業將很快便意識到個人數據是儲存在多個地方，所以尋找並鎖定這些數據並非易事，同時歐盟延長了 GDPR 要求的限期，為歐盟及其他地區的公司帶來很大的問題。SAS 的個人資料保護方案，提供企業工具來識別和管治個人數據，為新條例作好準備，同時亦幫助企業擴展和增強已投資的管理框架。

今次介紹的軟件和服務協助企業在整個生命週期中，尋找及識別所有個人資料數據，讓其得到合適的保護，企業採取以下步驟：

－存取：企業透過方案可以評估、存取和整合來自多個數據來源（如 Oracle，Apache 或 Hadoop）的數據類型。
－識別：無論 PII 位於何處，透過數據過濾、抽樣技術和演算法，可從結構性和非結構性的數據來源中識別和抽取個人數據。
－管治：數據管理軟件有助執行政策、監察數據質量及管理整個機構的業務。
－保護：將數據角色化，配合加密技術，可保障敏感資料，並將動態數據整合以避免數據移動，從而大大減低敏感數據暴露的機會。
－核對：為積極避免處罰和違規，互動報告可以來識別用家、數據來源和偵測 PII 類型。

處理個人資料是棘手的，尤其是當數據可以儲存在多個位置時。要成功管理任何數據，首先要存取並確定數據的位置，其後，再通過不同方案作數據管理、保護和審計，以確保適當的人員能擁有適當的存取權限，同時數據亦得到保護。