跳至內容

一般的資料保護規則

出自Taiwan Tongues 台語維基
這是此頁批准,以及是最近的修訂。

一般的資料保護規則》(英語:General Data Protection Regulation,縮寫作 GDPR;歐盟法規編號:( EU ) 六百七十九分之兩千空一十六), 閣名《通用資料保護規則》,是佇咧歐盟法律內底對所有歐盟個人關於資料保護佮隱私的規範,牽涉著歐洲境外的個人資料出口。GDPR 主要目標為著取回個人對個人資料的控制,閣有為著國際商務佇簡化佇歐盟內底的統一規範。

GDPR 取代了歐盟佇一九九五年推出的歐盟個人資料《資料保護指令》(Data Protection Directive)四十六分之九十五 / EC,這條例包含有關處理歐盟內部資料主體的個人會當識別資訊的條款佮要求,閣愛用伊佮歐洲做生理的所有企業,無論實體位置何在。處理個人資料的業務流程必須愛佇設計佮預設情況下構建資料保護,這意味有一个人的資料著愛使用假名化抑是匿名化進行存儲,並且預設使用盡量上懸的隱私設置,閣避免公開資料無經過明確的同意,並且袂使用於識別無單獨存儲附加資訊的主題。任何個人資料除非佇法規規定的合法基礎上完成,若無資料控制者抑是處理者已經對資料所有的人得著明確的選擇同意。資料所有的人有權隨時撤銷自權限。

個人資料處理者著愛清楚地披露任何資料收集,聲明資料處理的合法基礎佮目的,保留資料的時間以及敢是佮任何第三方抑是歐盟以外的國家共享資料。用戶有權以通用格式請求處理器收集的資料的便紮式副本,並有權佇咧特定的情況之下刪除其資料。公共主管部門佮以核心活動為中心定期抑是系統地處理個人資料的企業需要倩資料的保護官員(DPO)負責管理 GDPR 的合規性。若是資料漏露對用戶隱私產生不利影響,企業必須愛佇咧七十二點鐘內報告任何資料漏露。

法案佇二空一六年四月二七通過,兩年的緩衝期了後,佇二空一八年五月二五強制執行。根據歐洲聯盟運作條約第二百八十八條第二項,因為乎 GDPR 屬於歐盟條例(英語:regulation;德語:Verorderung), 毋是指令(英語:directive;德語:Richtlinie), 所以無需要經過歐盟成員國立法轉換做各國法律,會當直接適用。隨著英國佇二空一九年脫離歐盟,伊佇二空一八年五月二十三號御准批准了二空一八年資料保護法案。該法案有包含相應的法規佮保護措施。

摘要

GDPR 延伸歐洲資料保護法的領域到所有處理歐盟住民的境外公司。GDPR 予通行歐盟的資料保護規章一致,所以歐洲以外的公司會當閣較容易咧遵守遮的規章;毋過代價是嚴格的資料保護規定,而且有公司全球收益百分之四抑是兩千萬歐元(擇高者)的懸額共罰款。

原則

OECD 發表「個人資料隱私佮跨境流動保護指南」,這是歐盟和美國批准的一系列建議,旨咧保護個人資料佮隱私的基本人權。頭仔佇一九八空年九月二三通過法律,並且基於以下八大原則產生出後來的 GDPR、四十六分之九十五 / EC。

取得限制 ( Collection Limitation Principle )

個人資料的收集應存在適當的限制,進而且以合法而且公平的方式取得,並且透過適當的方法知會資料來源抑是主體,閣進一步取得同意。

資料品質 ( Data Quality Principle )

個人資料應該佮其使用目的相關,並且佇必要的範圍內底,確保資料的準確性佮完整性,而且隨時來更新。

目的明確 ( Purpose Specification Principle )

資料取得的目的應該收集資料的時陣就清楚說明,並且咧使用資料的時陣,若無通知來源主體,不得應用佇佮當初目的不相關的用途上

使用限制 ( Use Limitation Principle )

除非經資料主體或者是法律授權,若無不得共個人資料用佇原始抑是特定的目的以外之目的

安全防護 ( Security Safeguards Principle )

個人資料應該受著合理的安全保護措施之保障,以防止擲失抑是無經授權的訪問,破壞,使用,修改抑是披露資料等等的風險。

開放原則 ( Openness Principle )

關於個人的資料開發、應用方法,應該有一个通用的開放政策去規範。而且資料的主體會當較輕鬆會當去關於其本身資料的細節,比如講資料使用者的身份佮目的等等。

個體參與 ( Individual Participation Principle )

資料主體有資料的取用權,嘛有資料的拒絕予人使用權。另外嘛會當質疑資料的正確性,閣做出合理的所在 ( 刪除、修改等等 )。

責任原則 ( Accountability Principle )

資料持有者應對頂懸講原則負責。

主要變動

就算講歐盟佇一九九五年制定個人資料保護指令(Data Protection Directive), 但是彼陣網路無普遍,為著因應當前資料導向的潮流用符合現代時空環境,二空一六年通過 GDPR 取代去矣早前的法規,而主要變動如下 :

增加管轄的範圍、加強罰則

正因為網路無遠板的特性,佇往過指令的區域適用性含糊袂清的情形下,定定佇相關案件的審理上無氣難行。所以 GDPR 擴展其管轄的範圍,不管是公司咧位置是按怎,現此時只要有使用著歐盟的人民所擁有的資料,抑是向歐盟公民提供商品抑是服務的公司攏適用 GDPR。 除了這以外嘛加強罰則力頭,譬如講無夠額的客戶同意來處理資料猶是違反隱私設計概念的企業組織,將會予歐盟處以懸到年度全球營業額的四%抑是兩千萬歐元(以較懸者為準)。 值得注意的是遮的規定同時適用佇咧決策者佮「機器」,這代表的相關的雲端服務也佇管轄範圍內。 更規定咧向使用者請求資料使用權的時陣,愛提供於理解而且明確的說明,並且嘛愛予使用者較好撤回同意。

適用對象

下列適用的對象握有其客戶抑是成員相關的資料,攏受 GDPR 管轄。

保護範圍

只要是一个人會當產生出的任何資料,強欲攏予人重新定義做個人資料並受著保護。

一 . 個人的身份-電話號碼、地址、車牌仔等二 . 生物特徵-歷資料、指紋、面冊辨識、視網膜掃描、相片等三 . 電子紀錄-Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄

法規基礎

GDPR 的法規基礎有:

一 . 被遺忘權 ( Right to be forgotten ):會當要求控制資料的一方,刪除所有一个人資料的任何連結、副本抑是複製品。 二 . 取用權 ( Right to Access ):會當共資料控制方,尋求關於使用者本身的資料之使用方法、地點佮目的等等。另外控制方也應該用電子形式提供資料的副本供擁有者參考。 三 . 資料通好紮權 ( Right to data portability ):意思是用戶會當通用、機器可讀的形式取得某一服務的資料,進一步轉去另外一个服務上四 . 隱私始於設計 ( Privacy by design ):組織需要採納隱私設計的架構,佇咧上早的階段就對隱私佮資料保護問題進行預測佮因應,並且應對裝置佮應用程式實施嚴格的身份驗證佮授權機制。

企業責任

知影講個資予人侵害,需要七十二點鐘內通報佮通知、個資保護影響評估、個資保護設計佮預設。

影響產業

因為 GDPR 大大擴展了其涵蓋的範圍,所以受著全球的廣泛關注,因為對往過地域上的限制,轉變成做干焦向歐盟人民提供產品、服務抑是監測歐盟境內公民網路行為的境外企業攏算。 受著影響的產業足廣的,影響著真大的產業有幾項 :

醫療資訊

為著欲有效推動智慧醫療,真濟病患的醫療資訊著愛電子化,透過各種深度學習演算法去訓練模型,進一步達成各種的需求。抑若電子病歷所衍生的隱私問題,佇咧高度安全的區塊鏈技術猶未普及的狀況之下,雖然會當透過去識別化初步的過濾掉個人的資訊,毋過佇咧往過尚無法律強制性的時陣,煞嘛無法度確實地咧使用醫療資料上保障個人隱私。這馬乎,是因為 GDPR 的規定,取得醫療資料的前提是有取得病患的同意,雖然增加一寡程序,但資料安全佮隱私的保障所紮來的益處,毋但會當保障病患的基本權利,會當提升資料使用的正當性。

網路小賣

這是一个會處理大量的個人可識別資訊之產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,攏屬於 GDPR 規範當中。閣加上網路服務隨產生的資料之大,使其他的條當其實衝,這也正正是按怎蘋果等網路服務公司嘛推出一个資管理系統,以因應 GDPR 修訂。

金融

金融機構持有大量的個人可識別資訊,便若牽涉著個資需要傳輸去境外、處理或者是利用著歐盟民眾的個資、海外設有分行、委外業務,攏可能受著影響的。加上歐盟佇世界經濟中佔有第二大位,金流來往頻繁,閣毋免講近年區塊鏈技術的興起來,資料隱私安全議題閣較是影響甚大。

航空運輸

航空運輸主宰當今人口移動的方式,旅客去倒轉來的機票、出入境資料嘛攏牽涉著個人隱私。以台灣做例,華航、長榮兩間國營航空業者來講,目前佇咧歐洲攏有行船,毋但是海外設有辦公室,閣愛頻繁處理大量的旅客資料。

時間線

  • 二空一二年一月二五 : GDPR 的提案發佈。
  • 二空一三年十月二一 : 歐洲議會公民自由委員會 ( LIBE ) 進行矣意向投票。
  • 二空一五年十二月十五:歐洲議會、理事會佮委員會中間的談判 ( 三部曲會議 ) 產生一項聯合提案。
  • 二空一五年十二月十七號:歐洲議會的 LIBE 委員會投票支持三部曲會議的談判結果。
  • 二空一六年四月初八:歐洲聯盟理事會通過。唯一投反對票的成員國是奧地利,該國辯講,佮一九九五年的指令相比,資料保護水平佇某寡方面有所下降。
  • 二空一六年四月十四:歐洲議會通過。
  • 二空一六年五月二四:條例佇《歐盟官方公報》發佈政府公報二十工後生效。
  • 二空一八年五月二五:條例生效兩年後,其規定直接適用佇所有會員國。
  • 二空一八年七月二十號:佇歐洲經濟區聯合委員會佮三个國家同意遵循這个條例了後,GDPR 佇歐洲經濟區國家 ( 冰島、列支敦斯登佮徙威 ) 生效。

參考文獻

引用

外部連結

  • Regulation ( EU ) 六百七十九分之兩千空一十六 of the European Parliament and of the Council 二十七 April 二千空一十六 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data , and repealing Directive 四十六分之九十五 / EC ( General Data Protection Regulation )
  • GDPR 簡介(繁體中文)
  • 𤆬你舞有 GDPR(繁體中文)
  • 國家發展委員會歐盟 GDPR 法規(繁體中文)
取自「https://wiki.taigi.ima.org.tw/w/index.php?title=一般的資料保護規則&oldid=400794