CLOSE
網頁新知
2018.05.15

GDPR 歐盟 個人資料保護 法規發佈,網站必須建立 隱私 政策 !

GDPR 歐盟 個人資料保護 法規發佈,網站必須建立 隱私 政策 !

一、GDPR 是什麼?對網站有什麼影響?

GDPR 歐盟 個人資料保護 法規發佈,網站必須建立 隱私 政策 !GDPR完整的名稱是 General Data Protection Regulation,中文譯為一般資料保護規則個人資料保護規則通用保護規則,其制定的主要目的,在於保護歐洲公民的個人資訊隱私,並且賦予資料持有者(個人)更多維護個資的權力,限制資料使用者(企業)未經同意散播、統計、轉售個資等等的不當行為。

在1995年歐盟就已經訂定過相關資訊安全的法規,稱為數據保護指令(EU Data Protection Directive),在當時對於虛擬網路世界中人權以及隱私的維護就已經有了一定的作為,而 GDPR 是在2014年6月通過法案,在經過2年的緩衝期,預計於2018年5月25日強制執行,並將取代數據保護指令成為最新的法規依據,其內容多達99條,可以說複雜程度很高,但相對而言也非常完善,意味著難以鑽其漏洞。

圖片來源:pixabay
 

科技的蓬勃發展讓舊法規難以適應新的技術,在進入到數位時代後,人們的生活型態改變,食衣住行育樂的生活大小事都與網路息息相關,而無論是使用電子票證、上網購物、社交軟體、遊戲軟體等都會要求搜集姓名、電話、地址、信用卡資料,甚至會要求紀錄Cookie、IP這一類能推算真實所在地位置的數據,網路世界是如此廣大,我們很難想像這些日常中看似平常的註冊、購買行為,是否已經讓我們的個人資料落入有心人之手,用以非法的行為。

那麼 GDPR 中對於個人資料保護有哪些內容呢?以下將重點列出:

1.GDPR 所規範的對象並不只局限於歐盟所屬國家的企業 公司,而是涵蓋了所有會蒐集、使用、紀錄歐洲公民個人資料的所有自然人、法人,營利/非營利單位,並不是狹義上的指針對地域性,其影響擴及全球。

2.重新定義了PII (Personally Identifiable Information 個人可識別資訊},PII將不再侷限於個人住址、姓名、電話、證件識別碼這一類過去所認知的個人資訊,而是將從來不被視為個資的網站瀏覽數據如GPS定位CookieIP Adress視網膜指紋、臉部等生物辨識以及可以識別個人身份的人類基因特徵等,都納入規範之中。

3.在企業之中,必須要有專人專職對所有權者(Data Subject)的個資做統一管理、保護,並在個資洩漏時做時效性的即時處理,也是與所有權者以及法規單位的對話窗口,在GDPR中稱之為DPO – 資料保護長(Data Protection Officer),也就是對於用戶隱私安全性上負最大的成敗之責。歐盟曾經的規範是只有超過250人以上的中大型企業才需要設置資料保護長一職,但因應新式法規,已取消此一規定。

4.如要蒐集、使用個人資料作為用途,必須要取得當事人同意,且在個資使用書或個資撤銷書上的內容必須清楚明瞭易懂,而非充斥滿滿的專業法律條文,有利於當事人對於自身自身個資利用有全面性的了解。

5.無論是Data Controller(資訊操作者)或Data Processor(資訊處理者),在資訊外洩的72小時內一定要通報給資安主管單位,並且個資外洩的成因將嚴重影響所有權者時,必須第一時間告知。

6.為了宣示 GDPR 中法規遵循的必然性,歐盟為 GDPR 配套了相當高額的罰款,如果是沒有合法的理由,拒絕刪除所有權者個人資料,或者沒有針對用戶個資做系統化管理,最高可罰一千萬歐元(新臺幣約3.6億元)或全球營業額2%的罰款 ; 若是更加嚴重的情況比如個資外洩未通報處理,沒有指派資料保護長、向其他國家傳輸個資等,最高可罰二千萬歐元(新臺幣7.2億元)或是全球營業總額4%的罰款。

圖片來源:pixabay
 

在2017年底以及2018年初分別發生了 Apple 蘋果以及 FaceBook 臉書的用戶個資外洩事件,而在 GDPR 即將實施的這一個月,蘋果開始對App Store中有將使用者位置轉出到第三方疑慮的App應用程式發出下架聲明(新聞網址:https://www.ithome.com.tw/news/123078),而FB臉書則是於4/17針對GDRP的內容發表了新的隱私權政策(新聞網址:https://www.ithome.com.tw/news/122542),國際性的企業均相當重視 GDPR 此一法規的內容,由此可知資訊安全漸漸的會成為網際網路上的重大議題,如果說對於網站安全性想要進一步的了解,可以參考這一篇文章:SSL、HTTPS是什麼?SSL憑證 對網站來說重要嗎?

圖片來源:pixabay
圖片來源:pixabay
 

而全世界最多人使用的搜尋引擎Google,也針對隱私政策規範內容做修訂以及呈現方式的新增,只要擁有Google帳號的每一個用戶,都會收到如下圖的電子郵件,告知因應歐盟政策以及提供使用者更好的瀏覽體驗,為使用者帳戶新增了能自由選擇匯出、編輯、刪除等資料管理功能。

圖片來源:Google
 

二、網站如何避免違反 GDPR 規範?

GDPR 為用戶新增了幾項權利,這些是在過去的法規中所沒有的,而網站要避免違反其規範,必須要先了解使用者擁有哪些權利,當我們清楚了GDPR 賦予給使用者對個資所能提出哪些要求後,才能夠避免觸犯 GDPR 法規以及隱私權相關訴訟糾紛,以下為各位彙整:

1.Right to be Forgotten

被遺忘權,用戶要求企業需刪除已公開之個資時,企業必須通知第三方同步刪除個人資訊複本以及個人資訊連結。

2.Data Portability

個資可攜權,用戶為避免個資遭企業鎖定束縛,可要求完整轉移個資以及其他相關資料至其它企業。

3.Right of Access

強化資訊取得權,在蒐集使用個人資訊前,必須先取得用戶同意並且蒐集使用方必須要告知個資用途及處理方式。

4.Right to Object

強化個資處理反對權,當個資用戶提出不允許繼續使用個資時,企業須立即停止任何使用其個資的行為。

5.Right to Restriction of Processing

強化個資處理限制權,用戶擁有限制企業運用其個人資訊的權力

由以上幾點可以得知,GDPR將個人資訊等同於有形資產,任何人都擁有保護、收回、刪除、以及了解的權力,因此在GDPR正式執行後,務必要記得這些要點,只有先保障用戶的權益,才能夠讓企業永續發展。

圖片來源:pixabay
 

三、為網站建立個資保護防衛機制

網站公告隱私政策就是保護自己的第一步,如果說對於如何建立隱私政策頁面不清楚或者其他網站相關問題想要諮詢,都歡迎與我們聯絡!

CONTACT US

想了解更多資訊內容嗎?歡迎立即聯繫鵠崙設計!