Loading AI tools
歐洲數據保護條例 来自维基百科,自由的百科全书
《一般資料保護規範》(英語:General Data Protection Regulation,缩写作GDPR;欧盟法规编号:(EU) 2016/679[1]),又名《通用資料保護規則》,是在欧盟法律中對所有歐盟個人關於数据保護和隱私的規範,涉及了歐洲境外的個人資料出口。GDPR主要目標為取回個人對於個人資料的控制,以及為了國際商務而簡化在歐盟內的統一規範。[2]
此條目需要擴充。 (2018年7月12日) |
此條目需要精通或熟悉相关主题的编者参与及协助编辑。 (2018年7月12日) |
GDPR取代了歐盟在1995年推出的歐盟個人資料《数据保护指令》(Data Protection Directive)95/46/EC,該條例包含有關處理歐盟內部数据主體的個人可識別資訊的條款和要求,適用於與歐洲做生意的所有企業,不論實體位置何在。處理個人数据的業務流程必須在設計和默认情況下構建数据保護,這意味著個人数据必須使用假名化或匿名化進行存儲,並且默认使用盡可能最高的隱私設置,以避免公開数据未經明確同意,並且不能用於識別沒有單獨存儲附加信息的主題。任何個人数据除非在法規規定的合法基礎上完成,否則数据控制者或處理者已經從数据所有者那裡獲得明確的選擇同意。数据所有者有權隨時撤銷此權限。
個人数据處理者必須清楚地披露任何数据收集,聲明数据處理的合法基礎和目的,保留数据的時間以及是否與任何第三方或歐盟以外的國家共享数据。用戶有權以通用格式請求處理器收集的数据的便攜式副本,並有權在特定情況下刪除其数据。 公共主管部門和以核心活動為中心定期或系統地處理個人数据的企業需要雇用数据保護官員(DPO)負責管理GDPR的合規性。如果資料洩露對用戶隱私產生不利影響,企業必須在72小時內報告任何資料洩露。
本法案在2016年4月27日通過,兩年的緩衝期後,在2018年5月25日強制執行[3]。根據歐洲聯盟運作條約第288條第2項,因為GDPR属于欧盟条例(英語:regulation;德語:Verorderung),不是指令(英語:directive;德語:Richtlinie),所以不需經過歐盟成員國立法轉換成各國法律,而可直接適用[4]。隨著英國在2019年脫離歐盟,它於2018年5月23日御准批准了2018年資料保護法案 。该法案包含了相應的法規和保護措施[5][6]。
GDPR延伸歐洲資料保護法的領域至所有處理歐盟住民的境外公司。[7] GDPR使通行歐盟的資料保護規章一致,因此使歐洲以外的公司能夠更容易地遵守這些規章;然而代價是嚴格的資料保護規定,且有著公司全球收益4%或兩千萬歐元(擇高者)的高額罰款。[8]
OECD 發表“個人数据隱私和跨境流動保護指南”,這是歐盟和美國批准的一系列建議,旨在保護個人数据和隱私的基本人權。最初於1980年9月23日通過法律,並且基於以下八大原則[9]產生出後來的 GDPR 、95/46/EC。
儘管歐盟在1995年制定了個人資料保護指令(Data Protection Directive),但當時網路並不普及,為了因應當前資料導向的潮流以符合現代時空環境,2016年通過 GDPR 取代了先前的法規,而主要變動如下:
正因為網路無遠弗屆的特性,在以往指令的區域適用性含糊不清的情況下,常常在相關案件的審理上窒礙難行。因此 GDPR 擴展了其管轄範圍,不管公司所在位置為何,現在只要有使用到歐盟人民所擁有的資料,或者向歐盟公民提供商品或服務的公司皆適用於 GDPR。
除此之外也加強了罰則力道,例如沒有足夠的客戶同意來處理数据或違反隱私設計概念的企業組織,將會被歐盟處以高達年度全球營業額的4%或2000萬歐元(以較高者為準)。值得注意的是這些規定同時適用於決策者以及「機器」,這代表的相關的雲端服務也在管轄範圍內。
更規定在向使用者請求資料使用權時,須以提供於理解且明確的說明,並且也要讓使用者易於要撤回同意。
下列適用對象握有其客戶或成員相關資料,皆受 GDPR 管轄。
適用對象 | 例子 |
---|---|
客戶中有歐盟公民 | 餐廳、旅館、旅行社、計程車、電商 |
歐盟供應商、雇用歐盟員工 | 正職員工、兼職員工、供應商、合作廠商 |
非營利組織與政府機構 | GREENPEACE、NGOs |
只要是一個人所能產生出的任何資料,幾乎都被重新定義為個人資料並受到保護。
GDPR的法规基础有:[10]
知悉個資遭侵害,需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。
由於 GDPR 大大擴展了其涵蓋範圍,因此受到了全球的廣泛關注,因為從以往地域上的限制,轉變成為凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。
受到影響的產業非常廣泛,影響甚大的產業有幾項:
為了有效推動智慧醫療,許多病患的醫療資訊必須電子化,透過各種深度學習演算法去訓練模型,進而達成各種需求。而電子病歷所衍生的隱私問題,在高度安全的區塊鏈技術尚未普及的情況下,雖然可以透過去識別化初步的過濾掉個人資訊,然而在以往尚無法律強制性的時期,卻也無從確實地在使用醫療資料上保障個人隱私。現在,基於 GDPR 的規定,取得醫療資料的前提是有取得病患的同意,雖然增加了一些程序,但資料安全與隱私的保障所帶來的益處,不僅能夠保障病患的基本權利,也能提升資料使用上的正當性。
這是一個會處理大量個人可識別資訊之產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於 GDPR 規範中。再加上網路服務隨之產生的資料之大,使其更首當其衝,這也正是為何蘋果等網路服務公司 也推出了個資管理系統,以因應 GDPR 修訂。
金融機構持有大量個人可識別資訊,每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。再加上歐盟在世界經濟中佔有第二大位,金流來往頻繁,更不用說近年區塊鏈技術的興起,資料隱私安全議題更是影響甚大。
航空運輸主宰當今人口移動的方式,旅客往返的機票、出入境資料也都涉及個人隱私。以台灣為例,華航、長榮兩家民營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.