一般資料保護規範 (GDPR) 要求指南

一般資料保護規範 (GDPR) 由歐盟制定，旨在建立收集與處理其公民個人資訊的指引。雖然 GDPR 要求中所涉及的大部分資料是透過網站與應用程式在線上收集的，但也涵蓋以紙本或其他媒介收集的資料。

GDPR 於 2016 年獲得歐盟成員國核准，並在兩年後全面生效。它取代了 1995 年頒布的資料保護指令。制定 GDPR 的目的，是透過規範企業如何使用個人資訊，讓歐盟消費者能掌控自己的個人資料。

GDPR 的要求適用於所有歐盟公民，不論其身處歐盟成員國內或國外。同時，它也適用於所有涉及歐盟公民個人資料的組織，不論其網站或公司位於何處

GDPR 有哪些要求？

1. 合法、公平和透明的處理（GDPR 第 2 章第 5a 條）
   「個人資料應當：」
   5a：「以合法、公平且透明的方式，針對資料主體進行處理（『合法性、公平性和透明性』）。」
   5b：「為特定、明確且合法的目的而收集，不得以與該目的不相容的方式進一步處理；若為公共利益的檔案保存、科學或歷史研究目的，或統計目的而進一步處理，依據第 89 條第 1 項，則不應視為與原始目的不相容（『目的限制』）；」

為了遵循這些 GDPR 要求，組織必須記錄處理個人資料的合法理由。他們也必須取得資料主體的同意來收集資訊，並讓其知悉資料將如何被處理與使用。
符合 GDPR 對合法、公平與透明處理的要求意味著：

• 合法意指所有資料處理都應以正當目的為基礎。
• 公平意指企業需承擔責任，且不得將資料用於已聲明的正當目的之外的任何用途。
• 透明意指企業必須告知資料主體，其個人資料所涉及的處理活動。

1. 目的、資料與保存的限制（GDPR 第 2 章，第 5b 條與 5c 條）
   「個人資料應當：」
   5c：「在與其處理目的相關的範圍內，必須適當、相關，並且僅限於必要的程度（『資料最小化』）；」
   GDPR 要求組織必須記錄收集與處理資訊的理由，並確保在不再需要時刪除這些資訊（即資料最小化）。對於公共利益的檔案保存,以及科學、歷史或統計目的的資訊處理,則給予一定的彈性。
   為了有效符合 GDPR 要求，組織應該：

• 禁止將個人資料用於超出其合法收集目的的處理。
• 規定不得要求除必要之外的任何個人資料。
• 要求在完成收集個人資料的合法目的後，刪除該資料。

1. 資料主體權利（GDPR 第 3 章，第 12 至 23 條）
   詳細規範 GDPR 要求的十一項資料主體權利，被編入五個部分：
2. 透明度及管道
3. 個人資料之資訊與存取
4. 更正及刪除
5. 拒絕權及個人化自動決策
6. 限制
7. 同意（GDPR 第 2 章，第 6 條） 「只有在至少符合以下情況之一時，資料處理才屬合法： 資料主體已同意為一個或多個特定目的處理其個人資料； 處理是履行資料主體作為一方的合約所必需，或在簽訂合約前依資料主體的要求採取措施所必需； 處理是為了遵守控制者所受的法律義務所必需； 處理是為了保護資料主體或其他自然人的重大利益所必需； 處理是為了執行公共利益下的任務，或行使賦予控制者的官方權力所必需； 處理是為了控制者或第三方所追求的合法利益所必需，但若此利益被資料主體的利益或基本權利與自由所凌駕，且需要保護個人資料，尤其在資料主體為兒童時，則不得適用。」 根據 GDPR 要求，資料主體的同意只是六項合法處理資訊的前提之一。為了取得同意，處理者必須獲得個人的主動核准，也就是說，資料主體必須採取積極行動來授予同意，而非由處理者採取被動方式。 此外，同意必須被記錄，且資料主體必須能隨時撤回同意。若要處理 16 歲以下兒童的資料，則必須取得父母或監護人的同意。
8. 資料外洩通知（GDPR 第 4 章，第 33 條）
   「若發生個人資料外洩，控制者應在不無故拖延的情況下，並在可行時於知悉後不超過 72 小時內，將該個人資料外洩事件通知依第 55 條規定具管轄權的監管機關，除非該外洩事件不太可能導致對自然人之權利與自由造成風險。若未能在 72 小時內通知監管機關，則必須附上延遲的理由。」
   第 4 條（第 2 章）對資料外洩的定義為「導致個人資料在傳輸、儲存或其他處理過程中，遭到意外或非法的破壞、遺失、變更、未經授權揭露或存取的安全漏洞。」
   值得注意的是，GDPR 對資料外洩的定義不僅限於網路犯罪。資料外洩可能包括一些簡單的行為，例如將檔案分享給組織外部的人、員工誤將含有敏感資訊的電子郵件寄給錯誤的收件人，或有人未經授權存取檔案。
9. 設計及預設之資料保護（第 4 章，第 25 條）
   「……在進行處理時，應採取適當的技術與組織措施，例如假名化，以有效落實資料保護原則（例如資料最小化），並將必要的保障措施整合到處理過程中……」
   為了符合 GDPR 對「設計及預設之資料保護」的要求，組織必須在資料處理一開始就考量資料隱私。
10. 資料保護影響評估（第 4 章，第 35 條）
    「若某類型的處理，特別是使用新技術，並考量處理的性質、範圍、背景及目的，可能導致對自然人之權利與自由產生高度風險時，控制者必須在進行處理之前，對預期的處理作業對個人資料保護的影響進行評估。」
    根據 GDPR 的要求，在以下情況必須進行資料保護影響評估：

• 「對自然人之個人層面進行的系統性且廣泛的評估，該評估係基於自動化處理（包括建立個人檔案），並以此做為決策依據，這些決策會對該自然人產生法律效力，或以類似方式對其造成重大影響
• 大規模處理第 9(1) 條所指的特殊類別資料，或第 10 條所指與刑事定罪及犯罪有關的個人資料；或
• 對公共可及區域進行大規模的系統性監控。」

1. 資料傳輸（GDPR 第 5 章，第 44 條）
   「任何正在處理中的個人資料，或在傳輸至第三國或國際組織後預期將被處理的個人資料，僅能在符合本規範其他條款的前提下，並由控制者與處理者遵守本章所規定的條件時，方可進行傳輸。此規定亦適用於自第三國或國際組織再傳輸至另一第三國或另一國際組織的個人資料。資料傳輸的規則取決於資料傳輸的來源與目的地。」
   與資料傳輸相關的其他 GDPR 要求，詳述於第 45、46、47 與 48 條，這些條文同樣屬於第 5 章。這些條文涵蓋特定類型的資料傳輸及所需的資料保護措施，包括傳輸至歐盟以外國家的情況。
2. 資料保護長或 DPO（第 4 章，第 37、38 和 39 條） 第 37 條規定，「在以下任何情況下，控制者與處理者均應指定一名資料保護長：

• 資料處理係由公共機關或機構執行，但法院在其司法職能範圍內的情況除外；
• 控制者或處理者的核心活動包括資料處理作業，而該等作業因其性質、範圍及/或目的，需要對資料主體進行大規模的定期且系統性監控；或
• 控制者或處理者的核心活動包括大規模處理第 9 條所規定的特殊類別資料，或第 10 條所指與刑事定罪及犯罪有關的個人資料。」 GDPR 對 DPO 的要求載於第 38 條。第 38 條的一個重點是：「資料主體可以就其個人資料的處理，以及依本規章行使其權利的所有相關事宜，聯絡資料保護長。」 第 39 條中列舉 DPO 的職責，包括：
• 就資料保護責任向員工提供建議。
• 向管理層簡報是否需要進行資料保護影響評估 (DPIA)。
• 監督組織的資料保護政策與程序。
• 做為組織與其監管機關之間，以及在隱私事務上與個人之間的聯絡窗口。

1. 意識與訓練（第 4 章，第 39 條）
   「監督是否遵守本規章、其他歐盟或成員國的資料保護規定，以及控制者或處理者在個人資料保護方面的政策，其中包括……提升意識及對參與資料處理作業的員工進行培訓。」
   為遵守 GDPR 的要求，組織需要確保培訓內容全面，並針對組織中不同角色設計。任何處理歐盟公民敏感資訊的員工都必須接受與 GDPR 相關的資料保護培訓。

誰必須遵守一般資料保護規範的要求？

GDPR 的要求適用於所有歐盟及歐洲經濟區 (EEA) 成員國，只要其儲存或處理有關歐盟公民的資訊，無論網站或居民位於何處。因此，這些要求適用於任何擁有數位資產並有歐洲訪客的組織，即使歐盟公民並非其目標市場。而且，即使歐盟公民身處其他地方或居住在其他地方，也必須遵守 GDPR 的要求。

組織遵守 GDPR 要求的標準如下；這些標準適用於許多公司：

• 在歐盟國家設有據點
• 在歐盟沒有據點，但處理歐洲居民的個人資料
• 超過 250 名員工
• 員工少於 250 人，但其資料處理影響資料主體的權利與自由、並非偶發性，或涉及某些類型的敏感個人資料

GDPR 與資料控制者及處理者的比較

受 GDPR 要求約束的組織分為兩類，在某些情況下則同時屬於兩類。在 GDPR 第 4 條中，這些類別分別是資料控制者與資料處理者，其定義如下：

• 控制者
  「係指自然人或法人、公共機關、機構或其他組織，其單獨或與他人共同決定個人資料處理之目的與方式。」
• 處理者
  「係指自然人或法人、公共機關、機構或其他組織，代表控制者處理個人資料。」

資料控制者的角色與一般資料保護規範

控制者可以是自然人或法人，負責決定為何以及如何處理個人資料。例如，處理歐盟員工個人資訊的公司即被視為控制者。他們有責任確保遵守適用於處理歐盟公民資料的 GDPR 規範。

控制者也有責任向資料主體及監管機關證明其遵守 GDPR。這包括解釋所採用的流程，以確保資料處理合法、公平且透明。

資料控制者亦必須確保在個人資料不再需要時，具備適當的保護措施以予以銷毀，僅保存最少量的資料。此外，資料控制者還需實施技術性管控，以保障個人資訊的完整性與機密性。

資料處理者的角色與一般資料保護規範

處理者也可以是自然人或法人實體。他們代表控制者處理個人資料。通常，處理者是第三方，例如薪資公司或提供軟體即服務的公司，這些公司會儲存歐盟公民的個人資訊。處理者必須遵守控制者在資料處理協議中所規定的條件，其中包括與 GDPR 相關的規範。

根據 GDPR，控制者僅能與能夠保證遵守規範的處理者合作。這包括證明其具備足夠的技術與組織性管控措施，以符合處理歐盟公民個人資訊的安全與隱私標準。

GDPR 七項原則中的 GDPR 要求

GDPR 第 2 章第 5 條詳述與個人資料處理相關的七項原則。

1. 合法性、公平性和透明性：合法性是基於有正當理由來處理個人資料。公平性指的是使用者能夠理解其資料為何被處理，並確保不會被濫用或不當處理。最後，透明性要求組織在其身分及資料用途上保持清楚、公開且誠實。
2. 目的限制：GDPR 為資料的使用建立範圍，規定資料僅能為「特定、明確且合法的目的」而收集。
3. 資料最小化：GDPR 的資料最小化要求指引組織僅收集達成目標所需的最少量資訊。
4. 準確性：為遵守 GDPR 要求，組織必須對所收集與保存的個人資料之準確性負責，包括實施檢查與制衡機制，以確保並維護資料的完整性。
5. 保存期限限制：資料可被保存的時間長度亦屬於 GDPR 的要求。組織必須說明其保存資料的必要性，以及設定保存期限的理由。
6. 完整性與保密性：組織有責任保護資料。必須建立安全系統，以確保個人資料免於未經授權的存取、非法處理，以及意外的損害、遺失或毀壞。
7. 責任制：必須提供遵守 GDPR 要求及處理原則的證明。組織可能在任何時刻被要求展示其法遵。

一般資料保護規範關於個人權利的要求

GDPR 第 3 章規範了個人享有的 8 項權利。

1. 知情權：有權瞭解組織如何收集資訊、資訊將儲存多久，以及將與誰共享資訊。
2. 查閱權：有權瞭解組織收集哪些資訊、如何儲存和處理這些資訊，以及如何使用這些資訊。
3. 更正權：有權要求更正不正確或不完整的資訊。
4. 刪除權：有權要求永久刪除含有個人資料的記錄。
5. 限制處理權：在個人資料無法刪除時，有權限制其處理。
6. 資料可攜權：有權取得並重複使用其個人資料，以及要求組織將這些資訊傳送給第三方。
7. 異議權：有權反對其個人資料的處理。然而，在某些情況下，組織可以推翻該反對。
8. 避免自動化決策的權利：有權拒絕使用演算法進行決策並選擇退出自動化決策。

為遵循 GDPR 的資料保護

根據 GDPR 的要求，公司必須對涉及任何其互動的歐盟公民（包括員工、客戶及第三方供應商）的個人可識別資訊 (PII) 採取資料隱私保護措施。

理解個人可識別資訊與 GDPR 法規遵循

幾乎所有與組織的互動都涉及個人資料的交換。在許多情況下，這些資料中的個別部分不足以識別個人身分，例如：

• 出生日期
• 教育資訊
• 電子郵件地址
• 就業資訊
• 財務資訊
• 地理指標
• 郵寄資訊
• 醫療資訊
• 出生地
• 種族
• 宗教
• 電話號碼

然而，當這些個人資料彙整後，就可能識別特定個人，並成為個人可識別資訊 (PII)。PII 的範例包括：

• 生物特徵資料—視網膜掃描、語音特徵、或臉部幾何特徵
• 姓名—全名、婚前姓氏、母親的婚前姓氏，或別名
• 個人地址資訊—實體地址或電子郵件地址
• 個人特徵—照片影像（特別是臉部或其他可識別特徵）、指紋，或筆跡
• 個人身分識別碼—身分證號碼、護照號碼、駕照號碼、納稅人識別號碼、病患識別號碼、金融帳戶號碼，或信用卡號碼
• 個人電話號碼

GDPR 資料保護要求

為遵守 GDPR，公司必須對其接觸的任何歐盟公民的個人識別資訊 (PII) 採取資料和隱私保護措施，包括員工、客戶和第三方供應商。

根據一般資料保護規範 (GDPR) 第 32 條，資料控制者和資料處理者必須「實施技術和組織措施，以確保資料安全等級適合處理個人資料所帶來的風險等級」。這包括實施系統和流程，「以確保處理系統和服務的機密性、完整性、可用性和韌性」。

符合 GDPR 資料保護要求的工具

有許多技術可以用來支援 GDPR 法遵工作。以下是一些常用的符合 GDPR 資料保護要求的工具。

資料對應與探索工具
為確保所有受 GDPR 保護的資料都能充分受保護，資料對應與探索工具會識別並記錄組織內個人資料的流向。它們以可視化的方式呈現資料的儲存、處理和傳輸位置。這也有助於滿足 GDPR 的風險評估要求，並促進資料主體存取請求 (DSAR) 的處理。

加密工具
加密工具使用特殊演算法將可讀資料轉換為不可讀格式，必須透過金鑰才能解密。這能降低敏感或 PII 資料在處理過程中遭到洩露的風險，因為加密內容對未經授權者基本上是不可讀的。加密能保護資料在儲存與傳輸過程中的安全。

資料分類工具
資料分類工具會根據資料的敏感性與重要性進行識別、標記與分類。這有助於組織滿足 GDPR 在資料管理與風險降低方面的要求，並指引適當的安全措施與存取控制的應用。

身分與存取管理工具
控制與監控個人資料的存取是確保 GDPR 法遵的關鍵功能。身分與存取管理(Identity and Access Management , IAM)工具能管理與控制使用者對系統與資料的存取，確保只有獲授權的人員能接觸敏感資訊。它們提供驗證、授權與使用者生命週期管理，以防止對個人可識別資訊 (PII) 的未經授權的存取與資料外洩。

資料遮罩與匿名化工具
這些工具有助於滿足 GDPR 對資料「假名化 (pseudonymization)」的要求。透過資料遮罩與匿名化工具，真實資訊會被替換成看似合法的虛擬文字。這確保資料能被處理但不會被暴露。例如，社會安全號碼或信用卡號碼在處理時需要特定字元格式，透過資料遮罩可生成具有有效字元集的字串，但不是真正的敏感資訊。

確保遵守 GDPR 要求：建議與效益

GDPR 不合規所帶來的廣泛影響與高額罰款（例如 2000 萬歐元或全球年度營業額的 4%）值得高度重視。以下是一些在符合 GDPR 要求方面值得考慮的最佳實務。

• 評估行動應用程式是否符合 GDPR 要求。由於許多團隊成員會在行動裝置上存取並儲存 PII，確保這些應用程式與裝置符合 GDPR 要求非常重要。
• 定期進行風險管理策略評估。隨著組織與營運的持續變化，掌握所儲存與處理的歐盟公民資料及其相關風險非常重要。風險管理策略評估中也應考慮減緩與補救措施。尤其需要注意那些收集並儲存 PII 的影子 IT 情況。
• 制定並維護符合 GDPR 要求的資料保護計畫。如果尚未建立資料保護計畫，應將其列為首要任務。對於已制定資料保護計畫的組織，應進行審查以確保其符合 GDPR 要求。此外，也應定期檢查資料保護計畫，以便因應 GDPR 要求的變更與更新。
• 促使高階管理層產生緊迫感。由高階主管率先將遵守 GDPR 要求列為優先事項，可以確保整個組織對此高度重視。
• 若尚未任命，應聘用或指派一名資料保護長 (DPO)。雖然 GDPR 並未明確要求必須設立獨立的 DPO 職位，但組織最好安排專人負責這項職能。而且，由於 GDPR 允許 DPO 同時為多個組織工作，因此可以聘請顧問以兼職方式擔任。
• 讓所有利害關係人參與其中。人們通常認為 GDPR 要求只是 IT 的問題，其實不然。僅靠 IT 部門不足以充分應對 GDPR 要求。組織中的多數部門都會收集、分析或使用客戶的 PII，包括行銷、財務、銷售與營運。
• 監控系統與流程以符合 GDPR 要求。應建立持續性的監控機制，以確保組織持續遵循 GDPR 要求。
• 測試資料相關的事件應變計畫。在眾多 GDPR 要求中，有一項明確規定組織必須在知悉資料外洩後的 72 小時內進行通報。經過周密設計並且經過測試與演練的事件應變計畫，對於協助組織符合 GDPR 要求和減輕損失至關重要。

是的，這需要時間，但任何受 GDPR 規範的組織都應投資於系統與流程，以確保法遵。其效益遠不僅僅是符合法規。許多 GDPR 要求具有附加效應，不僅能提升安全性，還能透過增強消費者信心來強化品牌形象。

GDPR 要求常見問答集

GDPR 的要求是什麼？
為了達成並維持 GDPR 法遵，組織必須遵守多項 GDPR 規範。以下是適用於受此法規約束之組織的主要 GDPR 要求。

• 個人資料只能用於合法的目的。此外，組織必須告知資料主體其個人資料的使用方式。
• 處理個人資料的組織只能將其用於所述目的，並且在不再需要時必須予以銷毀。
• 必須保護資料主體的十一項權利。
• 必須滿足資料主體同意的六項合法前提條件之一，且該同意必須有書面記錄。
• 組織在察覺資料外洩後，必須於 72 小時內進行通報。
• 組織必須在資料處理開始時就考慮資料隱私與資料保護。
• 若存在對歐盟公民「權利與自由的高風險」，則必須進行資料保護影響評估。
• 只有在符合 GDPR 其他相關規定的情況下，才能將資料傳輸至「第三國或國際組織」進行處理。
• 資料控制者與資料處理者必須在 GDPR 要求所規定的適用情況下，指派一名資料保護長。

凡是處理歐盟公民個人資訊的員工，都必須接受資料保護意識教育與相關訓練。

GDPR 的要求是否適用於不在歐盟境內的歐盟公民？
是的，所有歐盟公民的個人資訊都受到 GDPR 要求的規範，無論他們身處歐盟境內或境外。

哪些組織必須遵守 GDPR 要求？
任何處理歐盟公民個人資料的組織都必須遵守 GDPR，否則將面臨處罰。這適用於所有類型的組織，包括營利性組織、非營利組織以及公共部門。