什麼是一般資料保護規定 (GDPR)?

《一般資料保護規定》 (GDPR) 是歐盟 (EU) 通過的一項全面的資料保護法。

學習目標

閱讀本文後,您將能夠:

  • 說明《一般資料保護規定》(GDPR) 的主要要求
  • 描述 GDPR 規定的個人權利
  • 瞭解 GDPR 對資料隱私權的重要性

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是一般資料保護規定 (GDPR)?

一般資料保護規定 (GDPR) 於 2018 年 5 月 25 日生效,是一部全面的資料隱私法,為個人資料的收集、處理、儲存和傳輸建立了框架。它要求以安全的方式處理所有個人資料,並包括對不遵循要求之企業的罰款和處罰。它還為個人提供了許多有關其個人資料的權利。

隨著技術的進步和資料收集的日益普遍,資料隱私問題已成為人們關注的焦點。在其通過時,GDPR 是最全面的資料隱私法規。它協調了整個歐盟 (EU) 內部各自獨立的資料保護法規。它還擴大了這些法規的範圍,使其適用於處理在歐盟所收集之個人資料的非歐盟組織。

如果公司或組織向歐盟境內的人們提供商品和服務或監控他們在歐盟境內的行為,則無論其地理位置如何,都需遵守 GDPR。

GDPR 如何定義「個人資料」?

GDPR 擴大了個人資料的範圍,使之包括與可識別的自然人有關的任何資訊。這包括明顯屬於個人的詳細資訊,如某人的姓名和地址,但也包括可用於識別某人的任何其他資訊,例如他們的 IP 位址以及與 Web 瀏覽工作階段相關的某些 Cookie 識別元。

GDPR 對資料控制者和資料處理者有哪些要求?

GDPR 將資料控制者定義為對收集和處理個人資料的方式和目的做出決定的實體,將資料處理者定義為通常代表資料控制者處理個人資料的實體。

GDPR 還規定了資料控制者和處理者應如何處理個人資料的七個關鍵原則:

  • 合法性、公平性和透明性
  • 目的限制
  • 資料最小化
  • 準確性
  • 儲存限制
  • 完整性和保密性(安全性)
  • 問責制

除了詳細描述這些原則外,GDPR 還要求資料控制者和處理者採取一些具體動作。其中包括:

  • 保存記錄:資料處理者必須保存其處理活動的記錄。
  • 安全措施:資料控制者和處理者必須定期使用適當的安全措施並對其進行測試,以保護他們收集和處理的資料。
  • 資料外洩通知:遭受個人資料外洩的資料控制者必須在 72 小時內通知有關當局,例外情況除外。通常,他們還必須通知其個人資料受到洩露影響的個人。
  • 資料保護長:處理資料的公司可能需要聘請資料保護長 (DPO)。DPO 領導並監督所有 GDPR 合規工作。

GDPR 中描述了對資料控制者和處理者的完整要求。

根據 GDPR,資料主體有哪些權利?

GDPR 將資料主體定義為「一個已識別或可識別的自然人」。資料主體擁有以下權利:

  • 知情權:必須以易於理解的方式告知資料主體其個人資料的收集和處理方式
  • 資料可攜帶權:資料主體可以將其資料從一個資料控制者處轉移到另一個資料控制者處
  • 存取權:資料主體有權獲得所收集之個人資料的複本
  • 更正權:資料主體可以糾正有關自身的不准確資料
  • 刪除權:資料主體可以要求刪除其資料(也稱為被遺忘權
  • 限制處理權:在某些情況下,資料主體可以限制其個人資料的處理方式
  • 反對權: 資料主體有權反對其個人資料的處理方式,在某些情況下,資料控制者或資料處理者有義務遵守資料主體的反對
  • 反對自動化處理權:資料主體可以反對完全基於自動資料處理的、對其有法律影響的決定

違反 GDPR 有哪些處罰?

GDPR 描述了對違反其政策的企業所處的罰金。

GDPR 規定了兩級罰款,每級對應不同的違規類別:

  • 第一級:違規行為將被處以最高 1000 萬歐元或企業全球年收入 2% 的罰款,以較高者為準。
  • 第二級:違規行為將被處以最高 2000 萬歐元或企業全球年收入 4% 的罰款,以較高者為準。

除了這些罰款外,當企業違反 GDPR 時,資料主體可要求損害賠償。

Cloudflare 和資料隱私

Cloudflare 的使命是幫助建立更好的網際網路,而資料隱私是該使命的核心。Cloudflare 在構建產品之初就「將隱私根植於設計之中」,並發佈了一系列服務來增強使用者隱私(包括 Cloudflare 資料當地語系化套件)。Cloudflare 還通過了歐盟行為準則隱私驗證,這是歐盟正式認可的第一個 GDPR 行為準則。瞭解有關 Cloudflare 和 GDPR 的資訊。