星島日報綜合報道 資料來源:加拿大國際廣播電台(RCI)
聯邦政府公布了新的《保護個人信息和電子文件法案》,要求加國公司如有泄露客戶個人信息及數據的情況,必須儘快報告,否則將面臨處罰,每次違規的罰款額最高可達10萬元。
加拿大在10數年前已出台了保護電腦數據, 防止泄露的法規,各省也先後出台了更詳細的規定。這一法規涉及廣泛的內容,從各方面敦促商家和企業保護客戶的個人信息,包括姓名、年齡、住址、社會保險號、健康情況等等。
雖然這一法規的首要目的是敦促商家和企業重視對客戶資料的保護。但從消費者的角度看,新法規的一個重要內容就是要求加國商家和企業,一旦有信息泄露的情況,必須及時通知客戶或消費者。
敦促商家強化網絡數據安全管理
以前若發生電腦數據泄露或被駭客入侵的情況,大多數省份都是讓公司自行決定是否把具體情況通知客戶。而新法規則要求加國公司在兩年內加強網絡安全保護措施,包括與第三方承包商所做的交易。而在客戶隱私信息出現泄漏時必須及時告知客戶,如果存在造成個人重大損失的風險,則還要通知聯邦隱私專員辦公室。
新法規也對違反行為制訂了嚴厲的處罰措施,每次違規的罰款額最高可達10萬元。一般認為,這個數額足以敦促許多企業更新其IT基礎設施。
雖然隱私專員辦公室稱,新規則是朝着正確方向邁出的一步,但他們自己也認為還遠遠不夠,主要是辦公室沒有獲得執行這些規則的權力和資源。
上月隱私辦公室發佈的一份文件中,隱私專員瑟瑞恩(Daniel Therrien)表示,最近發生的兩起數據泄露事件,一則是Equifax受到黑客攻擊,另一起是劍橋分析公司收集選民信息,都使加拿大人意識到網絡隱私保護的重要性,但政府的立法機構並沒有給予足夠的關注,也沒有採取針對性的具體行動。
他要求政府增加隱私辦公室的經費,由每年2,400萬元增加一半。增加的撥款將用於僱用更多人來追蹤和調查違規行為,現在辦公室收到的違規報告正越來越多。
瑟瑞恩稱,在是否賦予隱私辦公室新的權力問題上,不應該再遲疑,罰款和例行檢查都是為確保企業尊重網絡安全和隱私的法律。
對商界服務 提出更高要求
加拿大獨立企業聯合會副主席莫若(Monique Moreau)表示,聯合會將盡量幫助大小企業東主理解這一新法規。他們都有各自優先要考慮的事情,關於電腦數據的泄漏目前不一定是他們最關注的問題。有網絡安全公司表示,新出台的法規顯然是客戶向公司提出服務要求的重要推動力。
莫若認為,絕大多數企業還沒有意識到會發生泄露的情況,也沒有把報告數據泄露作為公司最重要的事情。她還以一個本地小企業為例說,比如一家單車商店,可能每年向現有客戶發送幾次電子郵件,介紹新產品的信息。該商店以往可能不會認真考慮電腦中儲存的客戶資料,以及在網上進行營銷的安全性問題。一旦這家商店的數據庫遭到駭客進攻,或他們使用的客戶資料被盜,那時再意識到安全性問題就晚了。
Rank Software是一間位於渥太華的網絡安全公司,幫助商戶防範網絡威脅。其首席執行官考斯坦左(Rick Costanzo)稱,以前也同意說有很多公司長期忽視數據泄露的危險,但現在的情況正在好轉。在過去的10個月,該公司收入增長了一倍以上便足以證明。
他表示,新出台的法規顯然是客戶向公司提出服務要求的重要推動力。因為大家開始意識到,客戶資料被盜的事已不是會否發生的問題,而是何時會發生。
有法律專家指出,新法律中有些提法和語言不精確,例如規定公司和商家要在發生數據泄露帶來真正風險和實質傷害時,於可行的情況下儘快通知客戶。這樣的要求可能會導致有些公司報告遲緩或根本就不報告。
布朗(Ale Brown)是位於卑詩省溫哥華的Kirke Management Consulting公司的創辦人。該公司向各行各業的北美公司提供保護隱私建議。他說,有些公司因為看到了危險而積極採取行動。但只要事情還沒有出現,大多數人都會忽略它。只有在公司看到他們的底線受到威脅時,才會採取行動。
