Logo
資安不能只是口號

GDPR 是什麼?

GDPR 代表通用數據保護規則(General Data Protection Regulation),是歐洲聯盟於2018年5月25日實施的一項法規。

GDPR 的目的是保護歐盟公民和居民的個人數據隱私權,並強調個人數據的合法、公正和透明處理。該法規適用於在歐盟內處理個人數據的所有組織,無論其所在地點,是一個移動的保護網。

重點一 → GDPR 保護哪些個資?

重點二 → GDPR 認證

重點三 → 了解台灣的TPIPAS管理制度

GDPR 強調以下一些主要原則和權利

  • 透明性和合法性:組織需要以透明和合法的方式處理個人數據,並提供相應的信息。
  • 目的限制:數據處理的目的必須確切、明確,並限制在法定範圍內。
  • 數據最小化: 組織僅應收集並處理必要的個人數據。
  • 準確性:確保個人數據的準確性,並在必要時進行更新。
  • 存儲限制:數據應僅保存所需的時間,並在不再需要時進行刪除。
  • 安全性: 織應採取適當的技術和組織措施,以確保個人數據的安全。
  • 個人權利:GDPR 賦予個人一系列權利,包括訪問其數據、更正不準確的數據、刪除數據、反對數據處理等。
  • 數據保護官: 一些組織需要指定一個數據保護官(Data Protection Officer),特別是當處理大規模數據或特定類型的敏感數據時。

GDPR影響不僅僅限於歐洲

那些國家遵守 GDPR?

一、歐盟成員國: 英國脫歐但依然實行GDPR.

二、保障數位人權的許多國家跟進 : 冰島、挪威、列支敦士登、烏克蘭、阿爾巴尼亞、波斯尼亞和黑塞哥維那、塞爾維亞、蒙特內哥羅、北馬其頓、安道爾、格魯吉亞。

請注意,GDPR 的影響不僅僅限於歐洲,因為如果您處理歐洲公民的個人數據,您可能仍然需要遵守 GDPR,即使您的公司或組織位於非歐洲的國家。

GDPR 保護哪些個資?

個人在GDPR下有權了解其資料如何被使用、請求訪問、更正或刪除其資料,以及有權反對某些資料處理活動。此外,組織需要事先獲取資料主體的同意,合法地處理其個人資料。 歐盟網站 → 《歐洲資料保護條例》

  • 基本身份信息:包括護照號碼、身份證號碼等。
  • 身份證件信息: 包括護照號碼、身份證號碼等。
  • 財務信息: 根包括銀行帳戶信息、信用卡信息、支付信息等。
  • 健康和醫療信息:包括與個人健康狀況有關的數據,如醫療記錄、健康保險信息等。
  • 生物識別信息:包括指紋、面部識別、虹膜掃描等。
  • 地理位置信息:包括GPS數據、WiFi數據等。
  • 網絡識別信息: 包括IP地址、Cookie標識符、設備標識符等。
  • 職業信息: 包括雇佣記錄、工作職責等。
  • 教育信息: 包括學歷、教育歷史等。
  • 特殊類別的個人資料: 包括種族、宗教、性別、性取向、健康狀況等敏感信息。

GDPR中的許多適法性要求提供認證

  • Certified Information Privacy Professional (CIPP/E):由國際隱私專業協會(International Association of Privacy Professionals,IAPP)提供的認證,涵蓋歐洲的數據保護法律,包括GDPR。這是一個廣泛承認的隱私專業認證。
    專業人員證照 → 國際隱私協會的"CIPP/E"
  • GDPR Practitioner Certification: 由一些培訓機構提供的GDPR實踐者認證,旨在向個體和組織提供GDPR的具體執行知識。
  • Certified Data Protection Officer (CDPO):一些組織可能提供的認證,專為數據保護官(Data Protection Officer,DPO)設計,以滿足GDPR的要求。
  • ISO 27001 Lead Auditor/Implementer:雖然ISO 27001是信息安全管理系統的標準,但它涵蓋了個人數據的安全管理,因此對GDPR的遵守也具有影響。相應的ISO 27001的培訓和認證可能有助於理解GDPR的相關方面,ISO具指標性。 ISO公司稽核 → ISO/IEC DIS 27701
  • Prighter:除了GDPR(歐盟)還包括CCPA(加州)、PIPL(中國)、KVKK(土耳其)、FADP(瑞士)...提供跨司法與網絡隱私技術的解決方案與安全標章,包括資料請求的適法方案。 隱私解決方案 → prighter.com

Cookie同意

COOKIE是瀏覽器內建的,會自動影響網站體驗,"拒絕COOKIE"可能會阻擋網頁基本效能與畫面執行,進而影響SEO,但問題是,COOKIE資訊處理被駭客攻擊尚未真正的解決,我們重視的資訊透過COOKIE現階段還是有外洩風險,因此我們必須自行評估是否要同意進入網站。

Google使用的 → Cookie 類型和類似技術

COOKIE預計會在2024今年退場,到時候再看會是什麼樣的新技術。

COOKIE彈出視窗(進網站會跳出是否同意COOKIE),歐洲網站會提供相當多選項,通常有"接受基本/必要COOKIE"、"全部教受"、"不接受/退出"這三種基本按鈕,如果不接受"基本/必要COOKIE",通常會強制退出網站

GDPR要求網站在使用Cookie時保護用戶的隱私權 : 合法同意、清晰信息(目的、範圍)、提供選擇權、數據主體權利。

處罰範圍

不該輕視的資料外洩,在數據時代要更加強化業界各層面的合作力量,層層把關,如果個人可以追溯在某個時段被使用了哪些數據,那樣會更透明。

一、NIS 指令(歐盟) 罰金 : 對未能實施安全措施或未能向當局通報事件的組織與個人進行"公開性處罰"。

第一級:違規行為將被處以最高1000 萬歐元或企業全球年收入2% 的罰款。
第二級:違規行為將被處以最高700 萬歐元或企業全球年收入1.4% 的罰款。

歐盟範圍內運輸、能源、銀行、水、數位基礎設施、健康和金融依照 NIS 指令,會受到監管,基本服務以及網路公司(從網路供應商到線上市場和雲端服務提供者),以確保其基礎設施的安全並報告重大安全漏洞,進行風險評估、回應管理以及適合每個組織風險的「最先進」網路和資訊安全系統的安全程序。

二、GDPR (歐盟) 罰金 : 直接對資料外洩本身進行處罰, 規定了兩級罰款。
第一級:違規行為將被處以最高1000 萬歐元或企業全球年收入2% 的罰款。
第二級:違規行為將被處以最高2000 萬歐元或企業全球年收入4% 的罰款。

取較高罰金開罰: 新聞 → Meta侵隱私 歐盟開罰12億歐元

三、 台灣的《個人資料保護法》(PDPA) : 於 2012 年制定,並於 2013 年生效,2023年修法後規範與處罰更加嚴格。它是一部規範台灣個人資料收集、使用和處理的綜合性法律。個人資料的權益還涉及到民法、消費者保護法,因此當企業要進行資料訪問、問卷調查、蒐集數據或資料移轉時,建議要向專業的法律事務所或相關管道諮詢,去做一個深入的效益與風險評估。

GDPR第一波開罰應從大企業開始

看完罰金、再看看技術落差、再看看處罰對象(誰沒有網站),很多企業會害怕GDPR上路,沒有常常更新到最新網路安全技術,沒有足夠資金去補強資安會被開罰。

"GDPR雖被稱史上最嚴的法,但實際上是不是如此..."

讀到這裡,建議可以到台灣人權促進會看看劉定基教授的講解,誠實檢討台灣會面臨什麼狀況與如何落實應該做到的個資法保護。

台灣人權促進會 → 「大數據時代下的隱私保護:從歐盟GDPR反思我國個資法」講座側記

GDPR主要開罰對象會先從大企業(科技巨頭)開始,如Amazon(2021年被判罰7.46億)、Google、Facebook、Microsoft等,主要是這些大企業有領先性的技術與最為龐大的個人機密資料。

還會針對嚴重的侵權行為、資料販售做廣泛開罰,這可能不一定對巨頭企業,可能包括雲端處理、熱門串流平台、重要機構、網購、住宿預定、就職...但考慮實際情形,很難發揮GDPR效果去跨境開罰別的國家的企業。

保障網路個人隱私需要一個規範與審查機制,然後推行資安全面升級,才會影響到民間各行各業,最後請記得如果您有使用廣告、UX、站長工具、後台處理個人隱私訊息,請了解資安措施以及加強企業內部個資保護宣導,高度重視才會跟不上時代。

台灣是否會引進資料保護官(DPO)?

企業在歐盟發展通常會需要有DPO,台灣的個資法目前還沒有強制要求"資料保護官DPO"。

歐盟在特定領域的立法,包括市場競爭、消費者保護與環境安全等,均有形塑為全球標準之勢。在修法上有極高比例受到GDPR影響,而DPO規定是GDPR問責機制的基石,因此值得各界加以重視,時刻關注個資法的新趨勢,或是參考下方"台灣個人資料保護與管理制度"找到一些行動方案與人才培訓的資訊。

台灣個人資料保護與管理制度(TPIPAS)

台灣在地的企業與公、私部門組織如何增強個資保護專業呢? TPIPAS 要求組織採取適當的技術和組織措施,以保護個人資料的安全和隱私並提供專業諮詢。

TPIPAS的設計是基於OECD、APEC對於個人資料保護要求之重要原則,結合「個資法遵要求」、「組織管理流程」與「政府認證標章」,有助於達成保護個人資料之目的,增強客戶、消費者等利害關係人對於組織個資管理的信心。可以在TPIPAS找到如何申請"資料隱私保護標章"、尋求輔導機構協助、訓練專業人員、PIMS個資專業證照課程。

台灣個人資料保護與管理制度 → 官方網站(資策會)