GDPR 歐盟個人資料保護法規發佈，網站必須建立隱私政策！

內容目錄

一、GDPR 是什麼？對網站有什麼影響？

GDPR 歐盟 個人資料保護 法規發佈，網站必須建立 隱私政策 ！GDPR完整的名稱是 General Data Protection Regulation，中文譯為一般資料保護規則、個人資料保護規則或通用保護規則，其制定的主要目的，在於保護歐洲公民的個人資訊隱私，並且賦予資料持有者(個人)更多維護個資的權力，限制資料使用者(企業)未經同意散播、統計、轉售個資等等的不當行為。

在1995年歐盟就已經訂定過相關資訊安全的法規，稱為數據保護指令(EU Data Protection Directive)，在當時對於虛擬網路世界中人權以及隱私的維護就已經有了一定的作為，而 GDPR 是在2014年6月通過法案，在經過2年的緩衝期，預計於2018年5月25日強制執行，並將取代數據保護指令成為最新的法規依據，其內容多達99條，可以說複雜程度很高，但相對而言也非常完善，意味著難以鑽其漏洞。

科技的蓬勃發展讓舊法規難以適應新的技術，在進入到數位時代後，人們的生活型態改變，食衣住行育樂的生活大小事都與網路息息相關，而無論是使用電子票證、上網購物、社交軟體、遊戲軟體等都會要求搜集姓名、電話、地址、信用卡資料，甚至會要求紀錄Cookie、IP這一類能推算真實所在地位置的數據，網路世界是如此廣大，我們很難想像這些日常中看似平常的註冊、購買行為，是否已經讓我們的個人資料落入有心人之手，用以非法的行為。

那麼 GDPR 中對於個人資料保護有哪些內容呢？以下將重點列出：

1.GDPR 所規範的對象並不只局限於歐盟所屬國家的企業公司，而是涵蓋了所有會蒐集、使用、紀錄歐洲公民個人資料的所有自然人、法人，營利/非營利單位，並不是狹義上的指針對地域性，其影響擴及全球。

2.重新定義了PII (Personally Identifiable Information 個人可識別資訊}，PII將不再侷限於個人住址、姓名、電話、證件識別碼這一類過去所認知的個人資訊，而是將從來不被視為個資的網站瀏覽數據如GPS定位、Cookie、IP Adress、視網膜、指紋、臉部等生物辨識以及可以識別個人身份的人類基因特徵等，都納入規範之中。

3.在企業之中，必須要有專人專職對所有權者(Data Subject)的個資做統一管理、保護，並在個資洩漏時做時效性的即時處理，也是與所有權者以及法規單位的對話窗口，在GDPR中稱之為DPO – 資料保護長(Data Protection Officer)，也就是對於用戶隱私安全性上負最大的成敗之責。歐盟曾經的規範是只有超過250人以上的中大型企業才需要設置資料保護長一職，但因應新式法規，已取消此一規定。

4.如要蒐集、使用個人資料作為用途，必須要取得當事人同意，且在個資使用書或個資撤銷書上的內容必須清楚明瞭易懂，而非充斥滿滿的專業法律條文，有利於當事人對於自身自身個資利用有全面性的了解。

5.無論是Data Controller(資訊操作者)或Data Processor(資訊處理者)，在資訊外洩的72小時內一定要通報給資安主管單位，並且個資外洩的成因將嚴重影響所有權者時，必須第一時間告知。

6.為了宣示 GDPR 中法規遵循的必然性，歐盟為 GDPR 配套了相當高額的罰款，如果是沒有合法的理由，拒絕刪除所有權者個人資料，或者沒有針對用戶個資做系統化管理，最高可罰一千萬歐元(新臺幣約3.6億元)或全球營業額2%的罰款 ; 若是更加嚴重的情況比如個資外洩未通報處理，沒有指派資料保護長、向其他國家傳輸個資等，最高可罰二千萬歐元(新臺幣7.2億元)或是全球營業總額4％的罰款。

在2017年底以及2018年初分別發生了 Apple 蘋果以及 FaceBook 臉書的用戶個資外洩事件，而在 GDPR 即將實施的這一個月，蘋果開始對App Store中有將使用者位置轉出到第三方疑慮的App應用程式發出下架聲明(新聞網址：https://www.ithome.com.tw/news/123078)，而FB臉書則是於4/17針對GDRP的內容發表了新的隱私權政策(新聞網址：https://www.ithome.com.tw/news/122542)，國際性的企業均相當重視 GDPR 此一法規的內容，由此可知資訊安全漸漸的會成為網際網路上的重大議題，如果說對於網站安全性想要進一步的了解，可以參考這一篇文章：SSL、HTTPS是什麼？SSL憑證對網站來說重要嗎？。