GDPR（歐盟一般資料保護規範）為何？有哪些規範？

GDPR，全名歐盟一般資料保護規範，是歐盟在2018年針對所有27個歐盟國家所推行的個資保護法律，在中國大陸的PIPL推行前，為全球最嚴格的個資保護法，適用於所有的歐盟公民，不論企業是否在歐盟境內有設立辦公室。

在討論GDPR所涵蓋的細節之前，首先我們先針對一些執行現況做探討，因為隨著GDPR法案的通過，它也成為了在網路普及度越高，且科技蓬勃發展的現在，全世界政府第一個主要因應這一趨勢的法案，對於企業在管理客戶數據隱私的議題上，有更好的監督與問責。

同時，雖然英國離開了歐盟，但是英國仍然繼續GDPR的標準，並通過英國資訊委員辦公室（ICO）落實UK GDPR的執行。

不過在GDPR的執行當中，其中一個最為令人困惑的就是，其涵蓋範圍為所有歐盟公民，同時責罰又高達2千多萬，甚至是全球總營收的百分之四。不過在實務上，通常只要不在歐盟境內做生意，不管是歐盟的歐洲數據保護委員會（EDPB）或是英國的ICO，都很難落實相應的責罰。

從法律來看監管單位可以禁售相關機構在歐盟成員國境內的販售，然而從外交層級來看，這等於是要求在它國境內做它國人生意的它國企業，去遵守歐盟法律的要求，這不論是中國、美國、或是近期停止推出資料保護法的印度都是不太具約束力的。 實務案例中，也尚未聽說有被罰款、或是懲戒的企業。

GDPR涵蓋哪些個資保護？

在GDPR合規上，我們可以從企業獲取資料、保存資料（以及該資料的存取控制手段）、使用資料、以及銷毀資料這一週期中，了解GDPR在合規上的要求，以及與他國個資法之間的差異。

首先從獲取資料來看，機構在獲取相關數據時，必須要：

1. 盡告知義務：讓用戶充分知道自己所提供的數據會如何被使用、儲存、分享
2. 收集之數據須有明確目的，並獲取：須充分告知其數據使用目的，並且僅針對該目的，獲取相關數據
3. 最小化數據的獲得：機構所收集之數據，僅能以所示之目的為主，並且最小化其數據週期之數量與維度

而在儲存資料上，GDPR要求機構應該要：

1. 數據儲存的時間限制：GDPR在數據儲存的時間上並沒有限制，但必須是為了滿足所示之目的
2. 數據儲存的方法限制：GDPR同樣沒有直接要求應該要將儲存之靜態數據做加密行為，然而應該要落實相關的安全性部署，而GDPR也在整份規範的各個地方強調，加密所儲存之數據，是非常合適，且企業應盡的行為
3. 維持數據的正確性：個資相關之數據，必須維持其時效性與正確性

在使用數據上，GDPR要求機構應該要：

1. 建立在數據所有人不含糊的同意之上，譬如數據所有人通過自己的Email，點擊答應了要接受你的行銷週報
2. 滿足其他GDPR第六條所示之目的，譬如拯救他人生命、滿足大眾的利益、地方政府之要求、以及具備正當理由（關於正當理由可以從GDPR第六款中詳讀）
3. 建立在能夠處理這些數據之上，機構仍必須要滿足使用這些數據的安全性、正當性、以及保密性

而在分享數據上，GDPR要求機構應該要：

1. 有正當且良好的理由去分享這些數據
2. 數據擁有人已被通知，同時也清楚的理解所有會被分享的細節
   1. 會被分享的數據
   2. 分享的對象
   3. 分享的目的
   4. 分享的法律基礎
   5. 數據會被持有多久
   6. 他們可以如何在未來拒絕
3. 所分享之數據應被最小化：如前面所列，在搜集數據時，應根據目的而最小化數據
4. 機構對於另一機構在告知所擁有之數據的維度上，也應最小化，並且對方的儲存時間也應最小化
5. 分享是建立在安全的基礎之上
6. 分享之行為是有被記錄的

同時，GDPR還有要求機構必須滿足相關的問責性（Accountability），也就是必須要能夠展示給相關機構，其在GDPR法遵上的落實。