Logo
帶你了解史上最嚴格的個資法 | GDPR

GDPR 是什麼?

GDPR 代表通用數據保護規則(General Data Protection Regulation),是歐洲聯盟於2018年5月25日實施的一項法規。

GDPR 的目的是保護歐盟公民和居民的個人數據隱私權,並強調個人數據的合法、公正和透明處理。該法規適用於在歐盟內處理個人數據的所有組織,無論其所在地點。

跳過介紹 → GDPR 保護哪些個資?

GDPR 強調以下一些主要原則和權利

  • 透明性和合法性:組織需要以透明和合法的方式處理個人數據,並提供相應的信息。
  • 目的限制:數據處理的目的必須確切、明確,並限制在法定範圍內。
  • 數據最小化: 組織僅應收集並處理必要的個人數據。
  • 準確性:確保個人數據的準確性,並在必要時進行更新。
  • 存儲限制:數據應僅保存所需的時間,並在不再需要時進行刪除。
  • 安全性: 織應採取適當的技術和組織措施,以確保個人數據的安全。
  • 個人權利:GDPR 賦予個人一系列權利,包括訪問其數據、更正不準確的數據、刪除數據、反對數據處理等。
  • 數據保護官: 一些組織需要指定一個數據保護官(Data Protection Officer),特別是當處理大規模數據或特定類型的敏感數據時。

GDPR影響不僅僅限於歐洲

那些國家遵守 GDPR?

一、歐盟成員國: 英國脫歐但依然實行GDPR.

二、保障數位人權的許多國家跟進 : 冰島、挪威、列支敦士登、烏克蘭、阿爾巴尼亞、波斯尼亞和黑塞哥維那、塞爾維亞、蒙特內哥羅、北馬其頓、安道爾、格魯吉亞。

請注意,GDPR 的影響不僅僅限於歐洲,因為如果您處理歐洲公民的個人數據,您可能仍然需要遵守 GDPR,即使您的公司或組織位於非歐洲的國家。

※在現實中,已經有許多大型企業遵守,GDPR是一個很基本的保護網,台灣也有可能會跟進,我們會請每個客戶隨時注意最新法規資訊。

GDPR 保護哪些個資?

個人在GDPR下有權了解其資料如何被使用、請求訪問、更正或刪除其資料,以及有權反對某些資料處理活動。此外,組織需要事先獲取資料主體的同意,合法地處理其個人資料。 歐盟網站 → 《歐洲資料保護條例》

  • 基本身份信息:包括護照號碼、身份證號碼等。
  • 身份證件信息: 包括護照號碼、身份證號碼等。
  • 財務信息: 根包括銀行帳戶信息、信用卡信息、支付信息等。
  • 健康和醫療信息:包括與個人健康狀況有關的數據,如醫療記錄、健康保險信息等。
  • 生物識別信息:包括指紋、面部識別、虹膜掃描等。
  • 地理位置信息:包括GPS數據、WiFi數據等。
  • 網絡識別信息: 包括IP地址、Cookie標識符、設備標識符等。
  • 職業信息: 包括雇佣記錄、工作職責等。
  • 教育信息: 包括學歷、教育歷史等。
  • 特殊類別的個人資料: 包括種族、宗教、性別、性取向、健康狀況等敏感信息。

GDPR中的許多適法性要求提供認證

  • Certified Information Privacy Professional (CIPP/E):由國際隱私專業協會(International Association of Privacy Professionals,IAPP)提供的認證,涵蓋歐洲的數據保護法律,包括GDPR。這是一個廣泛承認的隱私專業認證。
    專業人員證照 → 國際隱私協會的"CIPP/E"
  • GDPR Practitioner Certification: 由一些培訓機構提供的GDPR實踐者認證,旨在向個體和組織提供GDPR的具體執行知識。
  • Certified Data Protection Officer (CDPO):一些組織可能提供的認證,專為數據保護官(Data Protection Officer,DPO)設計,以滿足GDPR的要求。
  • ISO 27001 Lead Auditor/Implementer:雖然ISO 27001是信息安全管理系統的標準,但它涵蓋了個人數據的安全管理,因此對GDPR的遵守也具有影響。相應的ISO 27001的培訓和認證可能有助於理解GDPR的相關方面,ISO具指標性。 ISO公司稽核 → ISO/IEC DIS 27701
  • Prighter:除了GDPR(歐盟)還包括CCPA(加州)、PIPL(中國)、KVKK(土耳其)、FADP(瑞士)...提供跨司法與網絡隱私技術的解決方案與安全標章,包括資料請求的適法方案。 隱私解決方案 → prighter.com

Cookie同意

COOKIE是瀏覽器內建的,會自動影響網站體驗,"拒絕COOKIE"可能會阻擋網頁基本效能與畫面執行,進而影響SEO,但問題是,COOKIE資訊處理被駭客攻擊尚未真正的解決,我們重視的資訊透過COOKIE現階段還是有外洩風險,因此我們必須自行評估是否要同意進入網站。

如果台灣通過GDPR,必然會出現很多的COOKIE彈出視窗。

COOKIE彈出視窗(進網站會跳出是否同意COOKIE),歐洲網站會提供相當多選項,通常有"接受基本/必要COOKIE"、"全部教受"、"不接受/退出"這三種基本按鈕,如果不接受"基本/必要COOKIE",通常會強制退出網站

GDPR要求網站在使用Cookie時保護用戶的隱私權 : 合法同意、清晰信息(目的、範圍)、提供選擇權、數據主體權利。

處罰範圍

台灣還沒有與時俱進,但我們可以先參考一些相關罰款方式。

一、NIS 指令(歐盟) 罰金 : 對未能實施安全措施或未能向當局通報事件的組織與個人進行"公開性處罰"。

第一級:違規行為將被處以最高1000 萬歐元或企業全球年收入2% 的罰款。
第二級:違規行為將被處以最高700 萬歐元或企業全球年收入1.4% 的罰款。

歐盟範圍內運輸、能源、銀行、水、數位基礎設施、健康和金融依照 NIS 指令,會受到監管,基本服務以及網路公司(從網路供應商到線上市場和雲端服務提供者),以確保其基礎設施的安全並報告重大安全漏洞,進行風險評估、回應管理以及適合每個組織風險的「最先進」網路和資訊安全系統的安全程序。

二、GDPR (歐盟) 罰金 : 直接對資料外洩本身進行處罰, 規定了兩級罰款。
第一級:違規行為將被處以最高1000 萬歐元或企業全球年收入2% 的罰款。
第二級:違規行為將被處以最高2000 萬歐元或企業全球年收入4% 的罰款。

取較高罰金開罰: 新聞 → Meta侵隱私 歐盟開罰12億歐元

三、 投信投顧法: 規範了未來刊登社群網路投資廣告需採實名制,且若為詐騙廣告,「網路平台業者、出資者」都負連帶責任,若沒有在通知期限內下架廣告,司法警察機關可開罰12至60萬元,並可2至5倍加重處罰,最高可罰300萬,連續處罰到下架為止。 新聞 → 打詐五法上路 網路詐騙廣告連坐法來了

GDPR第一波開罰應從大企業開始

看完罰金、再看看技術落差、再看看處罰對象(誰沒有網站),很多企業會害怕GDPR上路,沒有常常更新到最新網路安全技術,沒有足夠資金去補強資安會被開罰。

"GDPR雖被稱史上最嚴的法,但實際上是不是如此..."

讀到這裡,建議可以到台灣人權促進會看看劉定基教授的講解,誠實檢討台灣會面臨什麼狀況與如何落實應該做到的個資法保護。

台灣人權促進會 → 「大數據時代下的隱私保護:從歐盟GDPR反思我國個資法」講座側記

GDPR主要開罰對象會先從大企業(科技巨頭)開始,如Amazon(2021年被判罰7.46億)、Google、Facebook、Microsoft等,主要是這些大企業有領先性的技術與最為龐大的個人機密資料。

台灣很少有企業可以比擬,也許具有廣告的在地主流平台會被優先審查,當然這都只是推測。

還會針對嚴重的侵權行為、資料販售做廣泛開罰,這可能不一定對巨頭企業,可能包括雲端處理、熱門串流平台、重要機構、網購、住宿預定、就職...但考慮實際情形,很難發揮GDPR效果去跨境開罰別的國家的企業。

保障網路個人隱私需要一個規範與審查機制,然後推行資安全面升級,才會影響到民間各行各業,最後請記得如果您有使用廣告、UX、站長工具、後台處理個人隱私訊息,請了解資安措施以及加強企業內部個資保護宣導,高度重視才會跟不上時代。