歐盟執行委員會正把新法規就位,當客戶個資遺失、遭竊時,釐清電信業者及網路服務提供者應該採取哪些行動,確保客戶在歐盟各國都獲得相同待遇,在歐盟境內有跨國服務的企業,在問題發生時也能採取一體適用的應變措施。
根據歐盟執委會資料,電信業者和網路服務提供者擁有客戶的姓名、地址、銀行帳號細節、通話紀錄、瀏覽過的網頁等資訊,它們必須遵守規定,萬一個資遭侵犯時,要向國家主管當局通報,並通知用戶。
歐盟執委會表示,未來對電信公司的要求將更明確、客戶有更多保障。新措施包括業者必須在偵測到個資遭侵犯的24小時內通知主管機關,以盡可能限制損害範圍;若在24小時內無法完全通報,也應該提供初步資訊,後續再補足。
另外,企業必須概述哪些資訊受影響、要採取哪些行動,尤其注意金融、地點、網路紀錄檔案、瀏覽紀錄、電子郵件資料及通聯紀錄等,評估是否通知用戶,並利用全歐盟統一的標準格式通報主管機關。
歐盟執委會盼提供企業誘因,把個資加密,將與歐洲網路暨資訊安全局(ENISA)共同出版一套技術保護措施指示清單,其中包括加密技術,讓未授權人士就算取得資料,也無法知道內容。
歐盟執委會副主席柯羅斯(Neelie Kroes)說,當用戶個資被侵犯時,應該讓他們知道,才能採取必要補救措施,企業也需要更簡單的因應準則。新措施在刊登公報後2個月實施。