【懒人包】史上最严苛 GDPR 来袭，莫急莫慌莫害怕

堪称全球最大破财平台的《GDPR：欧盟一般资料保护规章》在 5 月 25 日正式上线啦，我们紧急送上 GDPR 懒人包，让没时间、精力的懒人也能轻鬆服用的封包，带你一次了解号称超高罚锾的 GDPR 在玩什幺把戏！

谁是 GDPR？先来段自我介绍吧！

数位汇流的时代，个人资料态样增加的潮流下，企业要如何兼顾「个资保护」与「大数据的技术发展」呢？

GDPR：规範个人资料使用的六大原则

1. 正确性

个人资料必须确保正确无误，如果出现不正确的个人资料，应订立合理措施以立即删除或修改。

2. 公开透明性

必须以「合法」、「公平」、「透明」手段来蒐集、处理个人资料。

3. 目的性

必须以明确、合法的目的来蒐集个人资料。

4. 储存限制性

不得逾越处理个资目的的必要範围，并在资料储存期间做合理保管。

5. 机密性

必须以资安手段确保个人资料不被破坏或散布。

6. 最低性

必须在最低限度内蒐集、使用个人资料。

GDPR 的法规演化史

Q：咦，GDPR 是从石缝中蹦出来的吗？

A：当然不是！带你一起瞧瞧 GDPR 的修法进程。

近 20 年来网际网路、大数据等新兴资讯科技的快速发展，对个人资料的保护产生了崭新的挑战。

为了强调个资保护的重视，欧盟提升了个人资料法规的法律位阶：由《欧盟个资保护令》Directive 提升为《欧盟一般资料保护规章》的 Regulation 位阶。

欧盟如此遥远，GDPR 到底干台湾什幺事？

随着专业领域的多元化发展，以及全球化下贸易量的扩展，个人资料经过跨境传输的机会势必大幅提高。

治标也要治本：GDPR 的个资源头管理

1. 界定个资

定义什幺是个人资料的保护範围，大数据应用下，明确界定个资。

《法务部行政函释》

如将公务机关保有的个人资料运用技术去识别化而呈现方式，已无从直接或间接识别特定个人，即非属个人资料。

Q：动动脑：数位足迹、网站 Cookie 算不算个资保护範围？

2. 权利义务的明确釐清

个人资料的当事人有权利行使「资料的被遗忘权」，甚至可以透过「资料可携权」转交他人。

3. 落实保护

妥善管理风险，如不慎资料外洩，也须于黄金 72 小时内通报主管机关。

4. 跨部门合作

GDPR 订定企业内须设置 DPO「资料保护长」（Data Protection Officers）

DPO 设立条件：

人数规模超过 250 人，为个资高风险情状的公司必须设立资料保护长，告知、建议个资保护的法律义务，同时为资个保护主管机关的对口。这时，跨部门的合作势必成为重要议题。

欧盟 GDPR 真如此令人闻风丧胆？

欧盟 GDPR 一致性的合规要求，其实可以帮助企业和消费者立足于平等的立场沟通，更甚者可以让消费者了解自己的资料，拥有资料主体的自决权，更晓得如何为企业提供帮助。

如此一来，让消费者理解自己个资被企业使用的方式后，双方互信基础的建立，也许会萌发更多创新的机会！