关于苏黎世
公告通知

GDPR环境下,企业如何从“无为”走向“无畏”?

面对互联网业务的高速发展,越来越频繁的个人数据泄露引发了公众的焦虑和担忧。


作为一部用来保护欧盟公民个人隐私和数据安全的新法案,《一般数据保护法案》(General Data Protection Regulation, 简称GDPR) 已经于2018年5月25日正式生效了。这部法案早在2016年4月就经欧洲议会审议通过,其颁布使得欧盟对于数据保护的监管达到了前所未有的高度。考虑到很多新的规定出台需要时间消化和准备,以及操作具有一定的复杂性,该法案给予了企业两年的过渡准备期


这就像一场考试,监管机构给了所有公司两年的准备时间,现在到了检验成果的时候了。那企业是否都准备好了呢?很遗憾,从市场调研机构统计的结果来看,企业做的还远远不够。


市场营销公司Hubspot 2017年3季度针对欧洲五个国家的363位企业高层管理人员做了一份问卷调查,从公布的调查结果来看,仅有36%的调查对象有听说过GDPR,不到一半的人表示公司有开始做相关的合规整改工作,有22%的人群表示公司还没有为GDPR做任何准备。

而根据GDPR法案,从2018年5月25日之后,在GDPR法案管辖范围内的企业如果再对信息安全“无为而治”的话,将会面临最高达2000万欧元的罚款。

GDPR不但适用于在欧盟国家注册的组织机构, 也同样适用于任何在欧盟以外地区注册但为欧盟地区提供商品和服务, 并监控个人行为和数据信息的组织机构。对于任何持有和处理欧盟国家公民个人信息的公司无论其公司所在地,皆受该法案管辖。这就意味着所有与欧洲企业有业务往来的中国企业也同样要遵守该法案并受其管辖。

另外,相较于国内《网络安全法》100万元人民币的单项罚款上限,GDPR的最高2000万欧元的罚款对于违法企业来说违法成本将大大提高,将是一项极难承受的损失。

苏黎世财产保险(中国)有限公司(以下简称“苏黎世中国”)金融险部专家表示,GDPR法案生效确实增加了企业对信息保护的责任和义务,企业面临着更大的经营风险和合规风险。企业正视信息安全是一件好事,但也不必如临大敌,谈GDPR 色变。

GDPR具体、详尽的规定对企业实际操作提出了明确的指导。网络安全保险是企业完善自身信息保护规范同时的又一道保护屏障。当GDPR来临之际,很多企业开始关心是否需要投保网络安全保险作为风险管理的一种手段,以及一旦发生信息泄露事故自己的网络安全保险保单会如何应对。

苏黎世中国金融险专家介绍说,网络安全保险就是一份保障企业发生网络安全事故和信息泄露事故造成的第一方损失和第三者责任的保单。
相比于传统保险险种,网络安全保险更加强调服务属性,除了保单合同本身提供的损失补偿外,还为投保企业提供各种附加服务,包括:

保障内容还可随着科技发展和客户需求与时俱进,目前在人员伤害财产损失,网络金融犯罪,社交工程,网络恐怖主义等保障方面正在进行进一步探索扩展。对于自身相对比较缺乏问题解决能力的中小企业来说,这些服务内容往往显得更加至关重要。

苏黎世中国金融险专家指出,在日益完善的法律环境下,保险作为健全风险管理体系中的重要性更加凸显出来,值得企业加强关注和投资。网络安全保险的价值不仅仅体现在对于损失的补偿上,还包括其所能给企业带来的如何应对网络风险以及数据泄漏事故的专业知识和经验,以及各种专家资源。

当然,保险并不是万能的,苏黎世中国金融险专家强调,一家信息安全管理到位的企业,需要有完善的管理架构,完整的内控制度,认真贯彻执行的纪律,定期的系统安全检测和威胁漏洞修复,定期评估公司的危机响应管理方案、灾备计划、业务可持续性计划是否有效,最后还包括合理地应用各种风险管理工具,以及员工要接受相关培训并具有良好的日常安全意识等多种要素的全面配合。


对于可能受GDPR法案影响的企业来说,决策者们也许现在是时候跟自己的法务专家、风控部门或者保险顾问坐下来好好聊一聊这个话题了。