加国新规保护个人隐私 一旦泄露及时上报

get8686

作者：亚明
+ |: n) `4 K* p" i2 `5 N7 X
加拿大政府公布了新的《保护个人信息和电子文件法案》，要求加拿大的公司如有泄露客户个人信息及数据的情况，必须尽快报告，否则将面临处罚。

加拿大在10几年前就出台了保护电脑数据， 防止泄露的法规，各省也先后出台了更详细的规定。这一法规涉及广泛的内容，从各方面敦促商家和企业保护客户的个人信息，包括姓名、年龄、住址、社会保险号、健康情况等等。
/ F. g( _+ v! W- F3 l- t6 P- V
) j: g( m: h- o; |虽然这一法规的首要目的是敦促商家和企业重视对客户资料的保护。但从消费者的角度看，新法规的一个重要内容就是要求加拿大的商家和企业一旦有信息泄露的情况，必须及时通知客户或消费者。

* D8 x* [9 D% n2 t6 K6 C以前若发生电脑数据泄露或被骇客入侵的情况，大多数省份都是让公司自己决定是否把具体情况通知客户。而新的法规则要求加拿大公司在两年内加强网络安全保护措施，包括与第三方承包商所做的交易。而在客户隐私信息出现泄漏时必须及时告知客户，如果 “存在造成个人重大损失的风险”，则还要通知加拿大隐私专员办公室。

2 U6 S; C+ }9 ]7 ]新的法规也对违反行为制定了严厉的处罚措施 – 每次违规的罚款额最高可达10万加元。一般认为，这个数额足以敦促许多企业更新其IT基础设施。
2 L5 b7 V5 E0 k* M4 q& P( O


/ i2 l: b% K5 c2 M2 t5 h
; g- O5 w4 R" z6 F/ _加拿大独立企业联合会副主席莫妮克·莫若（Monique Moreau）对此表示： “我们会尽量帮助大小企业主理解这一新法规。他们都有各自优先要考虑的事情，关于电脑数据的泄漏目前不一定是他们最关注的问题”。
3 S1 T1 t: Z$ s9 p+ Q: {7 Q  m* J( I
  @4 e6 h1 t, i1 [莫若认为，绝大多数企业还都没有意识到会发生泄露的情况，也没有把报告数据泄露做为公司最重要的事情。她还以一个本地小企业为例说，比如一家自行车商店，可能每年向现有客户发送几次电子邮件，介绍新产品的信息。以前，该商店可能不会认真考虑电脑中储存的客户资料，以及在网上进行营销的安全性问题。可一旦这家商店的数据库遭到骇客进攻，或他们使用的客户资料被盗，那时再意识到安全性问题就晚了”。
" O" q# V4 S% I0 n
Rank Software是一家位于渥太华的网络安全公司，帮助商户防范网络威胁。该公司的首席执行官瑞克·考斯坦左（Rick Costanzo）说，他以前也同意说有很多公司长期忽视数据泄露的危险，但现在的情况正在好转。在过去的10个月里，该公司的收入增长了一倍以上就是证明。他表示，新出台的法规显然是“客户向我们提出服务要求的重要推动力。因为大家开始意识到，客户资料被盗的事已经不是会不会发生的问题，而是何时发生的问题”。

也有法律专家指出，新法律中有些提法和语言不精确，例如规定公司和商家要在发生数据泄露带来“真正风险”和“实质伤害”时，“在可行的情况下”尽快通知客户。这样的要求可能会导致有些公司报告迟缓或根本就不报告。
8 T3 e* M  {" G- @" s  r. k
3 I  r0 d" n! s. D9 X& f4 R% e阿里·布朗（Ale Brown）是位于温哥华的Kirke Management Consulting公司的创办人。该公司向各行各业的北美公司提供保护隐私建议。他说，有些公司因为看到了危险而积极主动。但只要事情还没有出现，大多数人都会忽略它。只有在公司看到他们的底线受到威胁时，才会采取行动。”

5 r5 k* j& l# r* j7 C
: n& ]( A: a; a8 M
! n8 F8 a0 L) {虽然隐私专员办公室称新规则是朝着正确方向迈出的一步，但他们自己也认为还远远不够，主要是办公室没有获得执行这些规则的权力和资源。

在上个月隐私办公室发布的一份文件中，隐私专员丹尼尔·瑟瑞恩（Daniel Therrien）表示，最近发生的两起数据泄露事件，一则是Equifax受到黑客攻击，另一起是剑桥分析公司搜集选民信息，都使加拿大人意识到网络隐私保护的重要性，但政府的立法机构并没有给予足够的关注，也没有采取针对性的具体行动。

他要求政府增加给隐私办公室的经费，由每年2400万加元增加一半。增加的拨款将用于雇用更多人来追踪和调查违规行为，现在办公室收到的违规报告正越来越多。
7 L' e7 P9 n9 R+ C, v
瑟瑞恩说：“在是否赋予隐私办公室新的权力问题上，不应该再迟疑了，罚款和例行检查都是为确保企业尊重网络安全和隐私的法律”。

9 Y! Z$ Y8 g5 ]