近來 Facebook 個資外洩問題鬧得沸沸揚揚,各大網路平台為了不重蹈覆轍,紛紛改善個資處理流程。2018 年 5 月 25 日正式實施的 GDPR,也將會是一個重要的指標。但是 GDPR 條款多達 99 條,複雜程度可想而知,以下將列出其中六大重點,幫助您快速掌握。
重點一:GDPR 設立的背景
GDPR 正式名稱為「歐盟一般資料保護法規(EU General Data Protection Regulation,GDPR)」。歐洲長久以來對於個人隱私權的保護比起其他國家相對嚴格許多。隨著時代演變,科技技術的提升,歐盟委員會明白到現有的法規已不敷使用。因此於 2016 年 4 月 27 日通過新版的歐盟一般資料保護法規,宣布在 2018 年 5 月 25 日生效並實施。GDPR 除了保護歐洲公民的個資、隱私權,連同資料的傳輸、儲存和管理都涵蓋在其中,可以說是有史以來最嚴格的規範。
重點二:GDPR 對於資料的定義
台灣也有針對個人資訊隱私的法規,但是台灣的個資定義和 GDPR 並不相同。普遍大眾對於個資的認知都只停留在姓名、電話、住址、病歷、Email 信箱等代表個人的資料,但在 GDPR 規範中將 IP 位置、Cookie、行動裝置 ID、社群網站活動紀錄、電子郵件內容、相片、政治主張、宗教信仰、生物特徵(指紋、視網膜掃描、臉部辨識)都列入保護項目。
重點三:GDPR 影響的對象
凡是歐盟公民都會受到 GDPR 的保護,換句話說,不管公司的類型或規模,只要跟歐洲 27 個成員國公民有來往,都受規範。像是在歐洲設有據點的公司;販售產品的對象包含歐盟公民;提供服務的對象含有歐洲公民;直接或間接收集資料的對象為歐盟公民的企業都會受到GDPR的檢視。從公司有歐盟公民的員工,歐盟國家的合作廠商,就連非營利組織、政府機構都會受到影響。只要是握有歐盟公民的個資,一律要遵守 GDPR 對於資料保護的規範。
重點四:GDPR 重點條款
在眾多條款中,挑出幾項要特別注意的權利跟大家分享。GDPR 新增了被遺忘權、可攜帶權和反對自動化剖析權。每個人將被賦予可以讓自己的資料被刪除以及指定轉移到特定企業的權利;在特定情況下個資當事者有權利反對資料收集者處理該當事人資料的方式。另外,GDPR 還強化了資料取得權和個資處理反對權。企業在收集個資前,需要先取得當事人同意方能蒐集處理個資,且在當事者對於處理方式有疑慮,並提出反對時,須立即停止蒐集處理的動作。
重點五:GDPR 的罰則
GDPR 所懲處的金額不像台灣法規開罰三萬或五萬那種不痛不癢的程度。而是依照違規類型的不同,最高會被懲處二千萬歐元,或是企業全球營業總額的 4% 作為罰款,並且是以金額較高的項目為準。如此重罰,便是為了杜絕懷有僥倖心態者。
重點六:應對措施
面對 GDPR 正式實施,企業應該從各個面向評估個資收集、儲存、管理、保護措施。從頭檢視每一階段的處理步驟是否完善,加強資料的管理嚴謹程度,並配合法規訂定更完善的制度規範。讓企業在發展的路上不會受到 GDRP 的影響而綁手綁腳。
以上這些說明,有沒有讓你對 GDPR 有了初步的了解呢?先明白GDPR的背景及影響範圍,再進一步探討該如何對應。下一篇跟大家分享面對 GDPR,要怎麼確認自己的網站該如何調整。希望能幫助各位先行自我檢測與開始應對 GDPR 的法規。
延伸閱讀
Google Maps API 大改版前必知,網站需因應調整的 3 大步驟
定期更換密碼會增加被破解的風險?3 個設定密碼技巧
