什麼是GDPR?

《一般資料保護規則》General Data Protection Regulation,縮寫作GDPR,是在歐盟法律中對所有歐盟個人關於資料保護和隱私的規範。

歐盟於1995年通過《個人資料保護指令》(Data Protection Directive), 由各會員國轉化內國法施行之,然而,肇因於科技之演變與為確保個人資料保護框架之一致性, 歐盟於2012年開始討論調整歐盟之個人資料保護框架,於2016年通過GDPR,並於2018年5月25日正式施行。

GDPR六大精神

合法、公平和透明
這一原則要求個人資料的處理必須建立在合法的基礎上,並且處理應當是公平和透明的。
目的限制
這一原則強調個人資料的收集和處理應當限於特定、明確且合法的目的。
數據最少化
要求組織只收集和處理那些與所需目的相關的最少數據。這有助於減少不必要的個人資料處理。
準確性
組織應確保個人資料的準確性,並及時更新不準確或過時的資料。
存儲限制
強調個人資料應當僅在必要的時間內保留。組織不應長期保存不必要的數據。
完整性和保密性
要求組織採取適當的安全措施,以確保個人資料的完整性和保密性。這包括防止未經授權的訪問和防止資料的損壞或損失。

影響產業

醫療資訊

推動智慧醫療,須將病患的醫療資訊電子化,透過各種深度學習演算法去訓練模型。現在基於 GDPR 的規定,取得醫療資料的前提是有取得病患的同意。

網路零售

這是一個會處理大量個人可識別資訊之產業,包括跨境電商、連鎖商店、旅遊服務、餐飲,只要是替歐盟顧客服務,掌握信用卡資料、地址、基本個資,都屬於 GDPR 規範中。

金融機構

金融機構持有大量個人可識別資訊,每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務,都可能受到影響。

航空運輸

旅客往返的機票、出入境資料涉及了許多個人隱私。以台灣的華航、長榮兩家民營航空業者來說,目前在歐洲都有航點,不僅在海外設有辦公室,也需要頻繁處理大量旅客資料。