WHY
伴隨著網際網路及科技持續進步,個人資料更易透過網路而被運用、傳遞及儲存,為嚴密保護歐盟公民之個人身份及生物特徵資料等,於 2016 年通過一般資料保護規則,取代了 1995 年制定的個人資料保護指令。
WHAT
GDPR 是近 20 多年來在資料保護法方面作出的最重要改變,不但適用於在歐盟的機構,這亦適用於全球所有會蒐集、儲存及處理與歐盟有關的個人資料之機構。這全新的規則除了統一歐盟各國的資料保護法,更為非歐盟的機構提供了更清晰的指引,為歐盟公民、居民及歐盟的任何人士提供合規的保護 詳細內容...
一旦沒有妥善處理個資或個資外洩,需在 72 小時內通報給資料保護主管機關,若沒有報行個資保護風險評估,未任命資料保護長,未即時通報、違法向第三國傳輸個資,即會被處以 2 千萬歐元(約新台幣 7 億元)或全球總營業額 4% 罰鍰
台灣與歐盟個資法比一比:
| 台灣個資法 | 額外因應 GDPR | |
| 個資定義 | 任何可識別自然人的資料,包含直接與間接資料 | 明確包含數位如 IP、Cookie 與 GPS 等在內,並擴張間接資料的定義 |
| 蒐集之 合法前提 | 依法告知目的、方式、內容欄位、利用方式及範圍、當事人權利,並取得同意 | 應提供的當事人權利中,定義更明確的被遺忘權、限制處理,以及可拒絕機器自動處理(包含剖析與決策)及資料可攜等 |
組織內的準備 |
配置管理人員及資源、設立管理機制並實作適當資料保護措施 |
蒐集前應進行隱私衝擊評估(DPIA)等程序,且明確定義應設立資料保護長(DPO)及其資格限制 |
| 機器自動處理、剖析與判斷 | (台灣個資法尚無相關規範) | 大規模的自動處理須事前評估,且可讓當事人行使拒絕權、不被分析、可要求刪除分析衍生的隱私資料,並且須提供人為干預或救濟機制 |
| 事件通報 | 以適當方式通知當事人 | 明確定義要在 72 小時內通知主管機關,且必要時通知所有當事人 |
WHEN
歐盟於 2016 年通過一般資料保護規則,給了歐盟兩年的緩衝期,於 2018 年 5 月 25 日正式執行。
WHERE
雖然法規主要鎖定歐盟,但由於網際網路盛行的特性,讓資料本身無地域性限制,因此擴及範圍是超乎預期,沒有人是局外人!
WHO
- 歐盟設點的企業、非營利組織或政府機構,蒐集歐盟公民或居民個資者
- 針對歐盟公民提供產品或服務的業者
- 監控歐盟公民網路行為業者
什麼是隱私權保護? Data protection by design and by default 是什麼意思?
然而 GDPR 條款為數眾多內容相當繁複,其中的第 25 條中有提及,由設計及預設機制著手保護資料 (Data protection by design and by default) 之要求, 確認軟體工具是否具有足夠、合適的技術來幫助公司達成各項原則
過去的資料保護,最常談的是機密性、完整性、可用性和適法性,為傳統資訊安全管理 (ISMS) 的作法為主。
GDPR 再進一步帶入隱私工程之觀念,除了資訊安全的 C、I、A 之外,還應一併考量不可連結、透明、可介入三種隱私保護特性。
隱私權保護怎麼做?
台灣企業位居全球製造業供應鏈其中一環,最常被供應鏈上遊的客戶要求回應或證明,企業所提供的產品、關鍵元件或服務是否符合 Privacy by Design (隱私設計)
為協助 Openfind 客戶因應 GDPR 需求,Openfind 將申請通過 ISO 27550 Privacy by design 標章,預計全產品將陸續通過此標章認證。