加国保护网络个人信息出台新法 商家泄客户隐私最高罚10万

加拿大都市网

网络安全、个人信息
■■加拿大已颁布保护网络个人信息新法规,保障国民私隐。加通社

星岛日报综合报道    资料来源:加拿大国际广播电台(RCI)

联邦政府公布了新的《保护个人信息和电子文件法案》,要求加国公司如有泄露客户个人信息及数据的情况,必须尽快报告,否则将面临处罚,每次违规的罚款额最高可达10万元。

加拿大在10数年前已出台了保护电脑数据, 防止泄露的法规,各省也先后出台了更详细的规定。这一法规涉及广泛的内容,从各方面敦促商家和企业保护客户的个人信息,包括姓名、年龄、住址、社会保险号、健康情况等等。

虽然这一法规的首要目的是敦促商家和企业重视对客户资料的保护。但从消费者的角度看,新法规的一个重要内容就是要求加国商家和企业,一旦有信息泄露的情况,必须及时通知客户或消费者。

敦促商家强化网络数据安全管理

以前若发生电脑数据泄露或被骇客入侵的情况,大多数省份都是让公司自行决定是否把具体情况通知客户。而新法规则要求加国公司在两年内加强网络安全保护措施,包括与第三方承包商所做的交易。而在客户隐私信息出现泄漏时必须及时告知客户,如果存在造成个人重大损失的风险,则还要通知联邦隐私专员办公室。

新法规也对违反行为制订了严厉的处罚措施,每次违规的罚款额最高可达10万元。一般认为,这个数额足以敦促许多企业更新其IT基础设施。

虽然隐私专员办公室称,新规则是朝着正确方向迈出的一步,但他们自己也认为还远远不够,主要是办公室没有获得执行这些规则的权力和资源。

上月隐私办公室发布的一份文件中,隐私专员瑟瑞恩(Daniel Therrien)表示,最近发生的两起数据泄露事件,一则是Equifax受到黑客攻击,另一起是剑桥分析公司收集选民信息,都使加拿大人意识到网络隐私保护的重要性,但政府的立法机构并没有给予足够的关注,也没有采取针对性的具体行动。

他要求政府增加隐私办公室的经费,由每年2,400万元增加一半。增加的拨款将用于雇用更多人来追踪和调查违规行为,现在办公室收到的违规报告正越来越多。

瑟瑞恩称,在是否赋予隐私办公室新的权力问题上,不应该再迟疑,罚款和例行检查都是为确保企业尊重网络安全和隐私的法律。

对商界服务 提出更高要求

加拿大独立企业联合会副主席莫若(Monique Moreau)表示,联合会将尽量帮助大小企业东主理解这一新法规。他们都有各自优先要考虑的事情,关于电脑数据的泄漏目前不一定是他们最关注的问题。有网络安全公司表示,新出台的法规显然是客户向公司提出服务要求的重要推动力。

■■新颁布的网络个人信息新法规,对企业服务提出更高要求。资料图片
 

莫若认为,绝大多数企业还没有意识到会发生泄露的情况,也没有把报告数据泄露作为公司最重要的事情。她还以一个本地小企业为例说,比如一家自行车商店,可能每年向现有客户发送几次电子邮件,介绍新产品的信息。该商店以往可能不会认真考虑电脑中储存的客户资料,以及在网上进行营销的安全性问题。一旦这家商店的数据库遭到骇客进攻,或他们使用的客户资料被盗,那时再意识到安全性问题就晚了。

Rank Software是一间位于渥太华的网络安全公司,帮助商户防范网络威胁。其首席执行官考斯坦左(Rick Costanzo)称,以前也同意说有很多公司长期忽视数据泄露的危险,但现在的情况正在好转。在过去的10个月,该公司收入增长了一倍以上便足以证明。

他表示,新出台的法规显然是客户向公司提出服务要求的重要推动力。因为大家开始意识到,客户资料被盗的事已不是会否发生的问题,而是何时会发生。

有法律专家指出,新法律中有些提法和语言不精确,例如规定公司和商家要在发生数据泄露带来真正风险和实质伤害时,于可行的情况下尽快通知客户。这样的要求可能会导致有些公司报告迟缓或根本就不报告。

布朗(Ale Brown)是位于卑诗省温哥华的Kirke Management Consulting公司的创办人。该公司向各行各业的北美公司提供保护隐私建议。他说,有些公司因为看到了危险而积极采取行动。但只要事情还没有出现,大多数人都会忽略它。只有在公司看到他们的底线受到威胁时,才会采取行动。