《一般資料保護條例指南》
在過去一年中,隨著科技環境日益複雜,隱私與資料保護再度成為焦點。隨著雲端運算與人工智慧帶來一系列隱私挑戰——從共同責任模式到生物特徵資料的處理,乃至人臉辨識技術的應用——歐盟內部已開始討論制定"GDPR 2.0"的必要性。
那麼,所謂的《一般資料保護條例》(GDPR)究竟是什麼?其涵蓋範圍為何?在草擬初稿 12 年後的今天,它能否為當前的挑戰提供解答?讓我們來探討這項法規的宗旨與需求,以及您如何透過資料保護策略確保合規。
什麼是《一般資料保護條例》(GDPR)?
該 《一般資料保護條例》(GDPR) 是一項資料保護法規,旨在規範組織如何收集、儲存、處理及分享歐盟公民的個人資料。 《一般資料保護條例》(GDPR)於 2018 年 5 月 25 日正式生效。該條例以《歐盟基本權利憲章》中關於個人資料保護的第 8 條為依據,並以"自願給予的同意"作為處理個人資料的法律依據。
此條例旨在統一整個歐盟的資料隱私法規,並保障歐盟公民的隱私權,無論處理個人資料的組織位於何種位置。
《一般資料保護條例》(GDPR)的主要原則
《一般資料保護條例》(GDPR)建基於七項核心原則,用以規範個人資料的合法處理。這些原則不僅是指導方針,更具有法律約束力,且是遵守 GDPR 的核心要點。它們要求組織在資料處理的每個階段——從最初的資料蒐集到最終的刪除或銷毀——都必須將隱私權納入考量。
- 合法性、公平性與透明度。 個人資料的處理必須具備法律依據,不得誤導或損害相關個人之權益,並須向個人明確且公開說明其資料的使用及處理方式。
- 用途限制. 資料的蒐集必須基於具體、明確、明確且合法的理由,且其使用不得與原始目的相牴觸。
- 資料最小化. 所收集及處理的資料,必須僅限於達成預定目的所必需的範圍。
- 準確性. 個人資料必須準確,並在必要時予以更新。不準確的資料應立即予以更正或刪除。
- 儲存空間限制. 個人資料僅得以可識別資料主體之形式保存,且保存期間不得超過達成預定目的所需之時間。
- 誠信與保密(安全). 處理個人資料時,應採取適當的安全措施,以防止未經授權或非法的處理及損害。
- 問責制. 組織必須能夠實施必要的政策與程序以符合《一般資料保護規範》(GDPR)的要求,並在接獲要求時,證明其已有效落實相關措施。
《一般資料保護條例》(GDPR)的定義與術語
以下是一份簡短的詞彙表,列出關鍵術語及《一般資料保護條例》(GDPR)的定義:
個人資料 指任何與個人有關的資訊,即 資料當事人,指可透過姓名、識別號碼、位置或其他與生理、生理、遺傳、心理、經濟、文化或社會身分相關的識別標記,直接或間接識別出的個人。
同意 是指由……所作出的任何"自願、具體、知情且明確"的表示 資料當事人 他們同意其個人資料可為所述目的而進行處理。
資料控制者 是指負責遵守《一般資料保護條例》(GDPR)原則,並決定個人資料處理目的及方式的個人或組織。此即應聯繫的對象 資料當事人 希望行使其權利。然而,實際的資料處理工作可委託給其他個人或組織,也就是說,該 資料處理器.
資料處理器 是指代表該機構處理個人資料的個人或組織 資料控制者. 該方須遵照 資料控制者.
資料當事人 是指同意其個人資料由某個 資料控制者 或 資料處理器.
處理 指對個人資料進行的任何處理活動,例如蒐集、記錄、組織、儲存、修改、揭露、傳播、刪除及銷毀,以及《一般資料保護規範》(GDPR)所涵蓋的其他選項。
查閱權 是指某人的 資料當事人 從……獲取資訊 資料控制者 關於其個人資料、資料處理方式、處理目的等事項,應於收到該請求後一個月內免費提供。
《一般資料保護條例》(GDPR)的合規需求與挑戰
《一般資料保護條例》(GDPR)為健全的資料保護標準奠定了基礎。然而,科技的動態特性帶來了複雜性,並日益考驗著歐盟隱私法規所依據的基本原則。
哪些主體必須遵守《一般資料保護條例》(GDPR)?
在歐盟境內。 任何處理歐盟境內個人資料的組織,均須遵守《一般資料保護條例》(GDPR)。這包括公營及私營企業、政府機關、慈善機構及其他非營利組織。
歐盟以外。 《一般資料保護條例》(GDPR)的適用範圍不僅限於歐盟境內,更涵蓋任何向歐盟公民提供商品或服務,或在歐盟境內觀察其行為的組織。這意味著,無論公司總部位於世界何處,只要處理歐盟居民的資料,就必須遵守《一般資料保護條例》。
全球網路與科技公司,包括在歐盟境內擁有用戶的社交媒體平台,均須遵守《一般資料保護條例》(GDPR)。
技術供應商與共同責任
隨著 SaaS、IaaS、PaaS 及其他透過網際網路提供 IT 資源與服務的平台日益普及,在 GDPR 合規方面,處理個人資料的技術供應商與分包商所扮演的角色便顯得至關重要。若某組織使用第三方服務/平台來處理或儲存個人資料,這些供應商也必須遵守 GDPR。
請注意,此類服務大多採用"共同責任"模式,其原則如下:
- 組織身為資料所有者,須對其資料負責;視服務類型而定,亦可能須對應用程式及/或作業系統負責
- 供應商負責伺服器、儲存設備、網路、實體位置等。
根據《一般資料保護規範》(GDPR),組織有責任取得同意,並確保資料用於預定目的。此外,組織還須確保受託處理個人資料的供應商,其處理方式符合該規範。
雲端運算對個人資料帶來的部分挑戰包括:
- 敏感資訊可能外洩
- 管控不同司法管轄區之間的資料流動
- 確保第三方供應商履行與資料當事人所作出的相同隱私承諾
- 有效實施保留政策
- 處理個人資料外洩事件
- 風險管理概論
《一般資料保護條例》(GDPR)與人工智慧
該 歐盟《人工智慧法》作為全球首部規範人工智慧的法律,《通用資料保護條例》(GDPR)預計將於 2025 年生效,以應對歐盟公民隱私權所面臨的若干新挑戰。然而,我們必須在現階段就了解,那些仰賴人工智慧處理個人資料的組織所面臨的若干挑戰:
- 資料最小化與目的限制。 人工智慧對資料控制者構成了一項挑戰,迫使他們將資料蒐集範圍限制在絕對必要且具特定目的的範圍內。
- 跨境資料傳輸。 人工智慧與數據驅動技術往往跨越國界運作。這可能需要實施更嚴格的管控措施,以確保符合《一般資料保護條例》(GDPR)的規定。
- 自動化決策與用戶画像分析。 人工智慧可能導致在未經人類介入的情況下,基於個人資料的處理(包括建立個人檔案)而做出決策,這其中存在風險。根據《一般資料保護規範》(GDPR),此類個人資料的使用受到嚴格限制。
《一般資料保護條例》(GDPR)的主要合規需求
對於需要遵守《一般資料保護規範》(GDPR)的組織,以下是應考慮的一般需求:
- 資料保護措施. 組織必須實施強健的資料保護解決方案與措施,包括資料加密、安全的資料儲存,以及定期的安全稽核。這也意味著在採用人工智慧、雲端運算及大數據分析等新技術時,必須考量《一般資料保護規範》(GDPR)的影響。
- 同意管理. 組織必須制定明確的政策,確保在處理個人資料之前,已取得明確、知情且自願給予的同意。這也包含建立明確的機制,以進行個人資料的生命週期管理。
- 資料處理紀錄必須詳細記錄資料處理活動,以證明收集了哪些資料、收集目的為何,以及資料如何被處理和保護。
- 資料保護專員. 某些類型的組織可能需要指派一名資料保護官來監督《一般資料保護規範》(GDPR)的遵循情況,尤其是當其處理大量敏感資料時。
如何符合《一般資料保護規範》(GDPR)的需求
符合《一般資料保護規範》(GDPR)的需求並非一次性任務,而是一個持續的評估與監控過程。組織必須實施一套全面的措施,涵蓋個人資料處理、資料保護與還原,以及資安:
- 理解並繪製資料. 進行徹底的審計,以了解所收集的個人資料內容、收集原因、處理方式、儲存位置以及共享方式。建立資料流圖,以追蹤個人資料在組織內的流動路徑。這有助於識別風險領域。
- 確保資料處理具有合法依據. 確定處理個人資料的法律依據,例如同意、契約、法律義務、生命權益、公共任務或正當利益。若以同意為依據,應確保該同意是"自願給予、具體、知情且明確的"。同意機制應易於理解,並包含可輕鬆撤回同意的選項。
- 實施資料保護政策. 制定或更新內部資料保護政策與程序,以確保符合《一般資料保護規範》(GDPR)的要求。將"預設與設計階段的資料保護"原則融入所有涉及個人資料的業務流程、系統及服務中。
- 盡量減少資料處理。 確保僅處理各特定目的所需之資料,且僅限於因公需要者方可存取個人資料。
- 資料保留。 《一般資料保護規範》(GDPR)要求組織對個人資料的保存期限進行嚴格評估與管理,確保資料的保存時間不超過必要期限。這需要採取主動的資料管理方式,包括制定明確的政策、定期進行審查,以及建立有效的資料刪除或匿名化流程,同時須在遵守 GDPR 的需求與其他法律規定的保存需求之間取得平衡。
- 促進資料主體權益. 制定相關程序以保障資料主體的權利,包括資料存取、更正、刪除、資料可攜權,以及對資料處理提出異議等請求。
- 規劃資料外洩應對與通報措施. 制定並實施一套完善的事件應變計畫,其中應包含資料外洩應變方案。須做好準備,在察覺資料外洩後 72 小時內通知相關監管機關,並在特定情況下通知受影響的個人。
- 檢查供應商管理及資料處理者的合規性. 請確保任何處理貴組織個人資料的第三方供應商或資料處理者,亦須遵守《一般資料保護規範》(GDPR)。
- 進行持續性評量. 定期針對資料處理活動進行稽核,並檢視相關政策,以確保持續符合《一般資料保護規範》(GDPR)的要求。
- 請留意國際轉帳. 若將資料傳輸至歐洲經濟區(EEA)以外地區,請確保已採取適當的保護措施,包括採用《標準合約條款》(SCCs),或遵守歐洲委員會的"充分性決定"。
- 保存紀錄與文件. 應就資料處理活動維持完整的紀錄,包括處理目的、資料類別及資料接收者。
《一般資料保護條例》(GDPR)與資料保護
在資料備份與災難還原方面,組織必須實施安全的備份流程,以保護個人資料並確保 符合《一般資料保護條例》(GDPR). 這包括部署 資料保護 以及具備以下特點的災難還原解決方案:
- 備份資料的加密 在儲存庫中(靜態儲存)以及傳輸過程中(傳輸中)。請選擇能讓您實施強加密標準的解決方案,即使發生備份資料被盜取的情形。 安全漏洞.
- 存取控制與驗證. 在授予存取權限之前,請設定基於角色的存取控制(RBAC)以限制對個人資料的存取,並啟用多因素驗證(MFA)以強化安全性。
- 資料最小化與儲存限制《一般資料保護條例》的核心原則之一是儲存限制,這直接影響備份保留政策。請確保備份解決方案具備足夠的靈活性,能夠針對不同層級的資料建立不同的排程與保留政策。
- 備份資料在雲端儲存空間中的位置。 請確認備份資料的儲存位置,並根據所處理的個人資料類型選擇儲存區域。
- 定期執行備份資料完整性檢查. 定期進行備份,以確保個人資料的完整性,並實施相關措施以測試資料還原功能。
- 供應商與第三方管理/合規. 請確保與您的備份解決方案整合的第三方儲存服務及其他平台,具備適當的特點範圍,以確保您能掌控資料的儲存方式與位置。
使用 NAKIVO 進行資料保護
NAKIVO Backup & Replication 這是一套資料保護解決方案,為處理個人資料的組織提供備份、災難還原與資安功能的完美組合。您可透過靜態與傳輸中加密、備份排程與自動化、彈性保留設定、備份驗證等功能,保護虛擬、實體、雲端及 SaaS 環境中的應用程式與系統,並確保符合 GDPR 需求。
