通用數據保障條例

《通用數據保障條例》（英語：General Data Protection Regulation，縮寫作GDPR；歐盟法規編號：(EU) 2016/679^[1]），又名《通用數據保護規則》，是在歐盟法律中對所有歐盟個人關於資料保護（英語：Data Protection）和私隱的規範，涉及了歐洲境外的個人數據出口。GDPR主要目標為取回個人對於個人數據的控制，以及為了國際商務而簡化在歐盟內的統一規範。^[2]

歐盟通用數據保障條例

歐洲聯盟法規（英語：Regulation (European Union)）
歐洲經濟區文件
全稱	關於在處理個人數據和在轉移這些資料方面保護自然人的法規，以及廢除指令95/46/EC（資料保護指令）
編號	歐洲聯盟法規第(EU) 2016/679號
提案者	歐洲議會和歐盟理事會
歐盟公報	L119, 4 May 2016, p. 1–88
立法歷史
起草日期	2016年4月14日
實施日期	2018年5月25日
審議階段文件
歐洲聯盟委員會草案	COM/2012/010 final – 2012/0010 (COD)
相關法律
取代	《資料保護指令》
現狀：正式立法

GDPR取代了歐盟在1995年推出的歐盟個人數據《資料保護指令》（Data Protection Directive）95/46/EC，該條例包含有關處理歐盟內部資料主體的個人可識別訊息的條款和要求，適用於與歐洲做生意的所有企業，不論實體位置何在。處理個人資料的業務流程必須在設計和預設情況下構建資料保護，這意味着個人資料必須使用假名化或匿名化進行存儲，並且預設使用盡可能最高的私隱設置，以避免公開資料未經明確同意，並且不能用於識別沒有單獨存儲附加資訊的主題。任何個人資料除非在法規規定的合法基礎上完成，否則資料控制者或處理者已經從資料所有者那裏獲得明確的選擇同意。資料所有者有權隨時撤銷此權限。

個人資料處理者必須清楚地披露任何資料收集，聲明資料處理的合法基礎和目的，保留資料的時間以及是否與任何第三方或歐盟以外的國家共享資料。用戶有權以通用格式請求處理器收集的資料的便攜式副本，並有權在特定情況下刪除其資料。 公共主管部門和以核心活動為中心定期或系統地處理個人資料的企業需要僱用資料保護官員（DPO）負責管理GDPR的合規性。如果數據洩露（英語：Data breach）對用戶私隱產生不利影響，企業必須在72小時內報告任何數據洩露（英語：Data breach）。

本法案在2016年4月27日通過，兩年的緩衝期後，在2018年5月25日強制執行^[3]。根據歐洲聯盟運作條約第288條第2項，因為GDPR屬於歐盟條例（德語：Verordnung (EU)）（英語：regulation；德語：Verorderung），不是指令（英語：directive；德語：Richtlinie），所以不需經過歐盟成員國立法轉換成各國法律，而可直接適用^[4]。隨着英國在2019年脫離歐盟，它於2018年5月23日御准批准了2018年數據保護法案（英語：Data Protection Act 2018） 。該法案包含了相應的法規和保護措施^[5][6]。

摘要

GDPR延伸歐洲數據保護法的領域至所有處理歐盟住民的境外公司。^[7] GDPR使通行歐盟的數據保護規章一致，因此使歐洲以外的公司能夠更容易地遵守這些規章；然而代價是嚴格的數據保護規定，且有着公司全球收益4%或兩千萬歐元（擇高者）的高額罰款。^[8]

原則

OECD 發表「個人資料私隱和跨境流動保護指南」，這是歐盟和美國批准的一系列建議，旨在保護個人資料和私隱的基本人權。最初於1980年9月23日通過法律，並且基於以下八大原則^[9]產生出後來的 GDPR 、95/46/EC。

取得限制 (Collection Limitation Principle)

個人數據的收集應存在適當的限制，進而以合法且公平的方式取得，並且透過適當的方法知會數據來源或者主體，再進一步取得同意。

數據品質 (Data Quality Principle)

個人數據應與其使用目的相關，並且在必要的範圍內，確保數據的準確性以及完整性，並隨時更新。

目的明確 (Purpose Specification Principle)

數據取得的目的應於收集數據時就清楚說明，並且在使用數據時，如果沒有通知來源主體，不得應用在和當初目的不相關的用途上

使用限制 (Use Limitation Principle)

除非經數據主體或法律授權，否則不得將個人數據用於原始或者特定目的以外之目的

安全防護 (Security Safeguards Principle)

個人數據應受到合理的安全保護措施之保障，以防止丟失或未經授權的訪問，破壞，使用，修改或披露資料等風險。

開放原則 (Openness Principle)

關於個人數據開發、應用方法，應有一個通用的開放政策去規範。並且數據主體可以輕鬆得取得關於其本身數據的細節，例如數據使用者的身份以及目的等等。

個體參與 (Individual Participation Principle)

數據主體擁有數據的取用權，也有數據的拒絕被使用權。此外也能夠質疑數據的正確性，並作出合理的處置(刪除、修改等)。

責任原則 (Accountability Principle)

數據持有者應對上述原則負責。

主要變動

儘管歐盟在1995年制定了個人資料保護指令（Data Protection Directive），但當時網絡並不普及，為了因應當前數據導向的潮流以符合現代時空環境，2016年通過 GDPR 取代了先前的法規，而主要變動如下:

增加管轄範圍、加強罰則

正因為網絡無遠弗屆的特性，在以往指令的區域適用性含糊不清的情況下，常常在相關案件的審理上窒礙難行。因此 GDPR 擴展了其管轄範圍，不管公司所在位置為何，現在只要有使用到歐盟人民所擁有的數據，或者向歐盟公民提供商品或服務的公司皆適用於 GDPR。
除此之外也加強了罰則力道，例如沒有足夠的客戶同意來處理資料或違反私隱設計概念的企業組織，將會被歐盟處以高達年度全球營業額的4％或2000萬歐元（以較高者為準）。值得注意的是這些規定同時適用於決策者以及「機器」，這代表的相關的雲端服務也在管轄範圍內。
更規定在向使用者請求數據使用權時，須以提供於理解且明確的說明，並且也要讓使用者易於要撤回同意。

適用對象

下列適用對象握有其客戶或成員相關數據，皆受 GDPR 管轄。

適用對象	例子
客戶中有歐盟公民	餐廳、旅館、旅行社、計程車、電商
歐盟供應商、僱用歐盟員工	正職員工、兼職員工、供應商、合作廠商
非營利組織與政府機構	GREENPEACE、NGOs

保護範圍

只要是一個人所能產生出的任何數據，幾乎都被重新定義為個人數據並受到保護。

1. 個人身份 - 電話號碼、地址、車牌等
2. 生物特徵 - 歷數據、指紋、臉部辨識、視網膜掃描、相片等
3. 電子紀錄 - Cookie、IP 位置、流動裝置 ID、社群網站活動紀錄

法規基礎

GDPR的法規基礎有：^[10]

1. 被遺忘權 (Right to be forgotten)：可以要求控制數據的一方，刪除所有個人數據的任何連結、副本或複製品。
2. 取用權 (Right to Access)：可向數據控制方，尋求關於使用者本身的數據之使用方法、地點及目的等等。此外控制方也應以電子形式提供數據的副本供擁有者參考。
3. 數據可攜權 (Right to data portability)：意思是用戶可以以通用、機器可讀的形式取得某一服務的數據，進而轉移到另外一個服務上
4. 私隱始於設計（英語：Privacy by design） (Privacy by design)：組織需要採納私隱設計的架構，在最初階段就對私隱及數據保護問題進行預測及因應，並且應對裝置及應用程式實施嚴格的身分驗證及授權機制。

企業責任

知悉個資遭侵害，需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。

影響產業

由於 GDPR 大大擴展了其涵蓋範圍，因此受到了全球的廣泛關注，因為從以往地域上的限制，轉變成為凡是向歐盟人民提供產品、服務或監測歐盟境內公民網絡行為的境外企業都算。
受到影響的產業非常廣泛，影響甚大的產業有幾項:

醫療訊息

為了有效推動智慧醫療，許多病患的醫療訊息必須電子化，透過各種深度學習演算法去訓練模型，進而達成各種需求。而電子病歷所衍生的私隱問題，在高度安全的區塊鏈技術尚未普及的情況下，雖然可以透過去識別化（英語：Data de-identification）初步的過濾掉個人訊息，然而在以往尚無法律強制性的時期，卻也無從確實地在使用醫療數據上保障個人私隱。現在，基於 GDPR 的規定，取得醫療數據的前提是有取得病患的同意，雖然增加了一些程序，但數據安全與私隱的保障所帶來的益處，不僅能夠保障病患的基本權利，也能提升數據使用上的正當性。

網絡零售

這是一個會處理大量個人可識別訊息之產業，包括跨境電商、連鎖商店、旅遊服務、餐飲，只要是替歐盟顧客服務，掌握信用卡數據、地址、基本個資，都屬於 GDPR 規範中。再加上網絡服務隨之產生的數據之大，使其更首當其衝，這也正是為何蘋果等網絡服務公司 也推出了個資管理系統，以因應 GDPR 修訂。

金融

金融機構持有大量個人可識別訊息，每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務，都可能受到影響。再加上歐盟在世界經濟中佔有第二大位，金流來往頻繁，更不用說近年區塊鏈技術的興起，數據私隱安全議題更是影響甚大。

航空運輸

航空運輸主宰當今人口移動的方式，旅客往返的機票、出入境數據也都涉及個人私隱。以台灣為例，華航、長榮兩家民營航空業者來說，目前在歐洲都有航點，不僅在海外設有辦公室，也需要頻繁處理大量旅客數據。

時間線

• 2012年1月25日: GDPR的提案發佈。^[11]
• 2013年10月21日: 歐洲議會公民自由委員會（英語：European Parliament Committee on Civil Liberties, Justice and Home Affairs） (LIBE)進行了意向投票。
• 2015年12月15日: 歐洲議會、理事會和委員會之間的談判(三部曲會議（英語：Formal trilogue meeting）)產生了一項聯合提案。
• 2015年12月17日: 歐洲議會的LIBE委員會投票支持三部曲會議的談判結果。
• 2016年4月8日: 歐洲聯盟理事會通過^[12]。唯一投反對票的成員國是奧地利，該國辯稱，與1995年的指令相比，數據保護水平在某些方面有所下降^[13][14]。
• 2016年4月14日: 歐洲議會通過。^[15]
• 2016年5月24日: 該條例在《歐盟官方公報》發佈政府公報20天後生效。^[16]
• 2018年5月25日: 條例生效兩年後，其規定直接適用於所有會員國。^[16]
• 2018年7月20日: 在歐洲經濟區聯合委員會（英語：EEA Joint Committee）和三個國家同意遵循該條例後，GDPR在歐洲經濟區國家(冰島、列支敦士登和挪威)^[17]生效。^[18]

參考文獻

引用

1. 2016/679 ). Eur-lex.europa.eu. [2018-05-28]. （原始內容存檔於2021-03-30） （英語）.
2. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex," 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf （頁面存檔備份，存於互聯網檔案館）
3. EUR-Lex - 31995L0046 - EN - EUR-Lex. [2018-05-01]. （原始內容存檔於2017-12-29）.
4. Blackmer, W.S. GDPR: Getting Ready for the New EU General Data Protection Regulation. Information Law Group. InfoLawGroup LLP. 5 May 2016 [22 June 2016]. （原始內容存檔於2018-05-14）.
5. New Data Protection Act finalised in the UK. Out-Law.com. [25 May 2018]. （原始內容存檔於2018-05-25）.
6. New UK Data Protection Act not welcomed by all. Computer Weekly. [25 May 2018]. （原始內容存檔於2018-05-24） （英國英語）.
7. Art. 3 GDPR – Territorial scope | General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR). [2018-04-12]. （原始內容存檔於2021-04-04） （美國英語）.
8. Fines and Penalties – GDPR EU.org. [2018-04-12]. （原始內容存檔於2018-04-12） （美國英語）.
9. How did we get there? – GDPR EU.org. [2019-06-17]. （原始內容存檔於2020-03-25） （美國英語）.
10. The regulation – GDPR EU.org. [2019-06-17]. （原始內容存檔於2021-01-20） （美國英語）.
11. Data protection (PDF). European Commission – European Commission. [3 January 2013]. （原始內容 (PDF)存檔於3 December 2012）.
12. Data protection reform: Council adopts position at first reading – Consilium. Europa (web portal). [2021-03-30]. （原始內容存檔於2017-10-06）.
13. Adoption of the Council's position at first reading 互聯網檔案館的存檔，存檔日期25 November 2017., Votewatch.eu
14. Written procedure 互聯網檔案館的存檔，存檔日期1 December 2017., 8 April 2016, Council of the European Union
15. Data protection reform – Parliament approves new rules fit for the digital era – News – European Parliament. [14 April 2016]. （原始內容存檔於17 April 2016）.
16. Official Journal L 119/2016. eur-lex.europa.eu. [26 May 2018]. （原始內容存檔於22 November 2018）.
17. General Data Protection Regulation (GDPR) entered into force in the EEA. EFTA. 20 July 2018 [30 September 2018]. （原始內容存檔於1 October 2018）.
18. Kolsrud, Kjetil. GDPR – 20. juli er datoen!. Rett24. 10 July 2018 [13 July 2018]. （原始內容存檔於13 July 2018）.

外部連結

• Regulation (EU) 2016/679 of the European Parliament and of the Council （頁面存檔備份，存於互聯網檔案館） 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
• GDPR簡介 （頁面存檔備份，存於互聯網檔案館）（繁體中文）
• 帶你搞懂GDPR （頁面存檔備份，存於互聯網檔案館）（繁體中文）
• 國家發展委員會歐盟GDPR法規 （頁面存檔備份，存於互聯網檔案館）（繁體中文）