Remove ads
歐洲數據保護條例 来自维基百科,自由的百科全书
《通用數據保障條例》(英語:General Data Protection Regulation,縮寫作GDPR;歐盟法規編號:(EU) 2016/679[1]),又名《通用數據保護規則》,是在歐盟法律中對所有歐盟個人關於資料保護和私隱的規範,涉及了歐洲境外的個人數據出口。GDPR主要目標為取回個人對於個人數據的控制,以及為了國際商務而簡化在歐盟內的統一規範。[2]
此條目需要擴充。 (2018年7月12日) |
此條目需要精通或熟悉相關主題的編者參與及協助編輯。 (2018年7月12日) |
GDPR取代了歐盟在1995年推出的歐盟個人數據《資料保護指令》(Data Protection Directive)95/46/EC,該條例包含有關處理歐盟內部資料主體的個人可識別訊息的條款和要求,適用於與歐洲做生意的所有企業,不論實體位置何在。處理個人資料的業務流程必須在設計和預設情況下構建資料保護,這意味着個人資料必須使用假名化或匿名化進行存儲,並且預設使用盡可能最高的私隱設置,以避免公開資料未經明確同意,並且不能用於識別沒有單獨存儲附加資訊的主題。任何個人資料除非在法規規定的合法基礎上完成,否則資料控制者或處理者已經從資料所有者那裏獲得明確的選擇同意。資料所有者有權隨時撤銷此權限。
個人資料處理者必須清楚地披露任何資料收集,聲明資料處理的合法基礎和目的,保留資料的時間以及是否與任何第三方或歐盟以外的國家共享資料。用戶有權以通用格式請求處理器收集的資料的便攜式副本,並有權在特定情況下刪除其資料。 公共主管部門和以核心活動為中心定期或系統地處理個人資料的企業需要僱用資料保護官員(DPO)負責管理GDPR的合規性。如果數據洩露對用戶私隱產生不利影響,企業必須在72小時內報告任何數據洩露。
本法案在2016年4月27日通過,兩年的緩衝期後,在2018年5月25日強制執行[3]。根據歐洲聯盟運作條約第288條第2項,因為GDPR屬於歐盟條例(英語:regulation;德語:Verorderung),不是指令(英語:directive;德語:Richtlinie),所以不需經過歐盟成員國立法轉換成各國法律,而可直接適用[4]。隨着英國在2019年脫離歐盟,它於2018年5月23日御准批准了2018年數據保護法案 。該法案包含了相應的法規和保護措施[5][6]。
GDPR延伸歐洲數據保護法的領域至所有處理歐盟住民的境外公司。[7] GDPR使通行歐盟的數據保護規章一致,因此使歐洲以外的公司能夠更容易地遵守這些規章;然而代價是嚴格的數據保護規定,且有着公司全球收益4%或兩千萬歐元(擇高者)的高額罰款。[8]
OECD 發表「個人資料私隱和跨境流動保護指南」,這是歐盟和美國批准的一系列建議,旨在保護個人資料和私隱的基本人權。最初於1980年9月23日通過法律,並且基於以下八大原則[9]產生出後來的 GDPR 、95/46/EC。
儘管歐盟在1995年制定了個人資料保護指令(Data Protection Directive),但當時網絡並不普及,為了因應當前數據導向的潮流以符合現代時空環境,2016年通過 GDPR 取代了先前的法規,而主要變動如下:
正因為網絡無遠弗屆的特性,在以往指令的區域適用性含糊不清的情況下,常常在相關案件的審理上窒礙難行。因此 GDPR 擴展了其管轄範圍,不管公司所在位置為何,現在只要有使用到歐盟人民所擁有的數據,或者向歐盟公民提供商品或服務的公司皆適用於 GDPR。
除此之外也加強了罰則力道,例如沒有足夠的客戶同意來處理資料或違反私隱設計概念的企業組織,將會被歐盟處以高達年度全球營業額的4%或2000萬歐元(以較高者為準)。值得注意的是這些規定同時適用於決策者以及「機器」,這代表的相關的雲端服務也在管轄範圍內。
更規定在向使用者請求數據使用權時,須以提供於理解且明確的說明,並且也要讓使用者易於要撤回同意。
下列適用對象握有其客戶或成員相關數據,皆受 GDPR 管轄。
適用對象 | 例子 |
---|---|
客戶中有歐盟公民 | 餐廳、旅館、旅行社、計程車、電商 |
歐盟供應商、僱用歐盟員工 | 正職員工、兼職員工、供應商、合作廠商 |
非營利組織與政府機構 | GREENPEACE、NGOs |
只要是一個人所能產生出的任何數據,幾乎都被重新定義為個人數據並受到保護。
GDPR的法規基礎有:[10]
知悉個資遭侵害,需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。
由於 GDPR 大大擴展了其涵蓋範圍,因此受到了全球的廣泛關注,因為從以往地域上的限制,轉變成為凡是向歐盟人民提供產品、服務或監測歐盟境內公民網絡行為的境外企業都算。
受到影響的產業非常廣泛,影響甚大的產業有幾項:
為了有效推動智慧醫療,許多病患的醫療訊息必須電子化,透過各種深度學習演算法去訓練模型,進而達成各種需求。而電子病歷所衍生的私隱問題,在高度安全的區塊鏈技術尚未普及的情況下,雖然可以透過去識別化初步的過濾掉個人訊息,然而在以往尚無法律強制性的時期,卻也無從確實地在使用醫療數據上保障個人私隱。現在,基於 GDPR 的規定,取得醫療數據的前提是有取得病患的同意,雖然增加了一些程序,但數據安全與私隱的保障所帶來的益處,不僅能夠保障病患的基本權利,也能提升數據使用上的正當性。
這是一個會處理大量個人可識別訊息之產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡數據、地址、基本個資,都屬於 GDPR 規範中。再加上網絡服務隨之產生的數據之大,使其更首當其衝,這也正是為何蘋果等網絡服務公司 也推出了個資管理系統,以因應 GDPR 修訂。
金融機構持有大量個人可識別訊息,每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。再加上歐盟在世界經濟中佔有第二大位,金流來往頻繁,更不用說近年區塊鏈技術的興起,數據私隱安全議題更是影響甚大。
航空運輸主宰當今人口移動的方式,旅客往返的機票、出入境數據也都涉及個人私隱。以台灣為例,華航、長榮兩家民營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客數據。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.