GDPR 歐盟 個人資料保護 法規發佈，網站必須建立 隱私 政策 ！

科技的蓬勃發展讓舊法規難以適應新的技術，在進入到數位時代後，人們的生活型態改變，食衣住行育樂的生活大小事都與網路息息相關，而無論是使用電子票證、上網購物、社交軟體、遊戲軟體等都會要求搜集姓名、電話、地址、信用卡資料，甚至會要求紀錄Cookie、IP這一類能推算真實所在地位置的數據，網路世界是如此廣大，我們很難想像這些日常中看似平常的註冊、購買行為，是否已經讓我們的個人資料落入有心人之手，用以非法的行為。

那麼 GDPR 中對於個人資料保護有哪些內容呢？以下將重點列出：

1.GDPR 所規範的對象並不只局限於歐盟所屬國家的企業 公司，而是涵蓋了所有會蒐集、使用、紀錄歐洲公民個人資料的所有自然人、法人，營利/非營利單位，並不是狹義上的指針對地域性，其影響擴及全球。

2.重新定義了PII (Personally Identifiable Information 個人可識別資訊}，PII將不再侷限於個人住址、姓名、電話、證件識別碼這一類過去所認知的個人資訊，而是將從來不被視為個資的網站瀏覽數據如GPS定位、Cookie、IP Adress、視網膜、指紋、臉部等生物辨識以及可以識別個人身份的人類基因特徵等，都納入規範之中。

3.在企業之中，必須要有專人專職對所有權者(Data Subject)的個資做統一管理、保護，並在個資洩漏時做時效性的即時處理，也是與所有權者以及法規單位的對話窗口，在GDPR中稱之為DPO – 資料保護長(Data Protection Officer)，也就是對於用戶隱私安全性上負最大的成敗之責。歐盟曾經的規範是只有超過250人以上的中大型企業才需要設置資料保護長一職，但因應新式法規，已取消此一規定。

4.如要蒐集、使用個人資料作為用途，必須要取得當事人同意，且在個資使用書或個資撤銷書上的內容必須清楚明瞭易懂，而非充斥滿滿的專業法律條文，有利於當事人對於自身自身個資利用有全面性的了解。

5.無論是Data Controller(資訊操作者)或Data Processor(資訊處理者)，在資訊外洩的72小時內一定要通報給資安主管單位，並且個資外洩的成因將嚴重影響所有權者時，必須第一時間告知。

6.為了宣示 GDPR 中法規遵循的必然性，歐盟為 GDPR 配套了相當高額的罰款，如果是沒有合法的理由，拒絕刪除所有權者個人資料，或者沒有針對用戶個資做系統化管理，最高可罰一千萬歐元(新臺幣約3.6億元)或全球營業額2%的罰款 ; 若是更加嚴重的情況比如個資外洩未通報處理，沒有指派資料保護長、向其他國家傳輸個資等，最高可罰二千萬歐元(新臺幣7.2億元)或是全球營業總額4％的罰款。