GDPR(歐盟一般資料保護規範)為何?有哪些規範?

最後更新於:September 12, 2022

定義

GDPR為何?

GDPR,全名歐盟一般資料保護規範,是歐盟在2018年針對所有27個歐盟國家所推行的個資保護法律,在中國大陸的PIPL推行前,為全球最嚴格的個資保護法,適用於所有的歐盟公民,不論企業是否在歐盟境內有設立辦公室。

在討論GDPR所涵蓋的細節之前,首先我們先針對一些執行現況做探討,因為隨著GDPR法案的通過,它也成為了在網路普及度越高,且科技蓬勃發展的現在,全世界政府第一個主要因應這一趨勢的法案,對於企業在管理客戶數據隱私的議題上,有更好的監督與問責。

同時,雖然英國離開了歐盟,但是英國仍然繼續GDPR的標準,並通過英國資訊委員辦公室(ICO)落實UK GDPR的執行。

不過在GDPR的執行當中,其中一個最為令人困惑的就是,其涵蓋範圍為所有歐盟公民,同時責罰又高達2千多萬,甚至是全球總營收的百分之四。不過在實務上,通常只要不在歐盟境內做生意,不管是歐盟的歐洲數據保護委員會(EDPB)或是英國的ICO,都很難落實相應的責罰。

從法律來看監管單位可以禁售相關機構在歐盟成員國境內的販售,然而從外交層級來看,這等於是要求在它國境內做它國人生意的它國企業,去遵守歐盟法律的要求,這不論是中國、美國、或是近期停止推出資料保護法的印度都是不太具約束力的。 實務案例中,也尚未聽說有被罰款、或是懲戒的企業。

GDPR涵蓋哪些個資保護?

在GDPR合規上,我們可以從企業獲取資料、保存資料(以及該資料的存取控制手段)、使用資料、以及銷毀資料這一週期中,了解GDPR在合規上的要求,以及與他國個資法之間的差異。

首先從獲取資料來看,機構在獲取相關數據時,必須要:

  1. 盡告知義務:讓用戶充分知道自己所提供的數據會如何被使用、儲存、分享
  2. 收集之數據須有明確目的,並獲取:須充分告知其數據使用目的,並且僅針對該目的,獲取相關數據
  3. 最小化數據的獲得:機構所收集之數據,僅能以所示之目的為主,並且最小化其數據週期之數量與維度

而在儲存資料上,GDPR要求機構應該要:

  1. 數據儲存的時間限制:GDPR在數據儲存的時間上並沒有限制,但必須是為了滿足所示之目的
  2. 數據儲存的方法限制:GDPR同樣沒有直接要求應該要將儲存之靜態數據做加密行為,然而應該要落實相關的安全性部署,而GDPR也在整份規範的各個地方強調,加密所儲存之數據,是非常合適,且企業應盡的行為
  3. 維持數據的正確性:個資相關之數據,必須維持其時效性與正確性

在使用數據上,GDPR要求機構應該要:

  1. 建立在數據所有人不含糊的同意之上,譬如數據所有人通過自己的Email,點擊答應了要接受你的行銷週報
  2. 滿足其他GDPR第六條所示之目的,譬如拯救他人生命、滿足大眾的利益、地方政府之要求、以及具備正當理由(關於正當理由可以從GDPR第六款中詳讀)
  3. 建立在能夠處理這些數據之上,機構仍必須要滿足使用這些數據的安全性、正當性、以及保密性

而在分享數據上,GDPR要求機構應該要:

  1. 有正當且良好的理由去分享這些數據
  2. 數據擁有人已被通知,同時也清楚的理解所有會被分享的細節
    1. 會被分享的數據
    2. 分享的對象
    3. 分享的目的
    4. 分享的法律基礎
    5. 數據會被持有多久
    6. 他們可以如何在未來拒絕
  3. 所分享之數據應被最小化:如前面所列,在搜集數據時,應根據目的而最小化數據
  4. 機構對於另一機構在告知所擁有之數據的維度上,也應最小化,並且對方的儲存時間也應最小化
  5. 分享是建立在安全的基礎之上
  6. 分享之行為是有被記錄的

同時,GDPR還有要求機構必須滿足相關的問責性(Accountability),也就是必須要能夠展示給相關機構,其在GDPR法遵上的落實。

AI Cybersecurity Data Privacy

About DOC

我們團隊追蹤各國經濟、政策、貿易,以及7個主要產業的變化與發展,支撐相關產業的大中華企業,在全球供應鏈中部署策略。而DOC系列的文章則是我們團隊所撰寫,盼能支撐所有夥伴可以有結構性的理解相關議題的重點與概念詮釋。

數據生態小組

我們的數據生態系統小組,從數據獲取、架構、治理、應用等面向,支撐客戶清晰各國規範之限制,以及應用面向的發展與研究。

了解服務
More From Us
More Glossary Terms