号称「史上最严个人隐私保护法」的GDPR，今年5月25日正式生效，究竟什么是GDPR？怎样会踩到红线？是你我都应该关心的议题。

 

如果有使用谷歌，制作Airbnb，Skyscanner，这类网友，近来应该都陆陆续续 收到更新版的隐私条款声明邮件，这一切都跟5月25日正式出炉，号称「史上最严格的个人资料 一般资料保护规定（General Data Protection Regulation，简称GDPR）有关。

 

欧盟，在1995年制定了个人资料保护令，但23年前网络服务并不普及，为了符合现代互联网环境，2016年又通过「一般资料保护规则」（GDPR）取代了先前的法规，并在实际执行前，给了欧盟两年的缓冲期，订于2018年5月25日正式执行。

 

一晃眼两年过去了，今天开始欧盟公民将享有个人资料从网络上全面消失的的权利。

 

据GDRP官网描述，这条法规是「保护以及加强欧盟成员国人民的资料隐私，以及重塑整个地区内的组织处理资料隐私的方法。」虽是这么说，但正因为网络无边界的特性，让资料本身根本没有地域性可言。

 

 

 

GDRP 给所有欧盟公民保护自己个人资料提供了法理依据，允许公民授权给不同个体使用其个人信息。它囊括了所有新数据保护所必须的相关要求，包括扩大了欧盟数据保护法律所覆盖的边界从本地公司延伸到所有参与欧盟公民「包括英国」个人信息处理的所有外国公司。

 

法规要求个人、品牌商、公司们必须建立稳定的数据处理、匿名收集数据以保护个人隐私、信息泄漏义务通知、安全处理不同公司间的数据转移等一系列的清晰措施，以符合 GDPR 的合规要求。

 

这项法规的基础，是「被遗忘权」，是一种在欧盟已经付诸实践的人权概念，可以要求控制资料的一方，删除所有个人资料的任何连结，副本或复制品；还有「资料可携权」（数据可移植权）」，意思是用户可以将A服务的资料，转移到B服务上，这也就是为什么Instagram最近推出资料打包备份功能，苹果推出管理个资工具。

 

不论你是巷口小吃店或是跨国企业，只要接触到欧盟公民并拥有他们的个资，那么就适用于GDPR规范，影响的范围包括：

 

客户中有欧盟公民：像是餐厅，旅馆，旅行社，计程车，电商等，只要握有欧盟公民顾客的个人资料，信用卡资料都算。

 

雇员欧盟员工，欧盟供应商：无论是正式还是兼职员工，供应商，合作商，只要握有他们个人资料，薪资纪录，电话等都算。

 

非营利组织与政府机构：不是企业，非营利组织与政府机构也适用GDPR，如果志工，会员，赞助者，捐款人，顾问是欧盟公民，所掌握的联络资料，税捐资料等，都受GDPR规范。不论你是一家小吃店或是一家跨国企业，只要接触到欧盟公民并拥有他们的个人资料，那么就会适用于GDPR规范。

 

怎样会违反GDPR？保护的范围包含哪些？

 

我们都希望自己的个人资料被合理使用，多数人的生活经验中，都有接过营销电话，短信，诈骗电话，为了避免个人资料被任意分享或贩卖给第三方。

 

GDPR保护的隐私范围包括：

 

个人身分，生物特征：例如电话号码，地址，车牌，病历资料，指纹，脸部辨识，视网膜扫描，相片，影片，电邮内容，问卷表单等，甚至社会认同，文化认同，地理位置等，只要是一个人所能产生出的任何资料，几乎都被重新定义为个人资料并受到保护。

 

线上定位资料：例如Cookie，IP位置，行动装置ID，社群网站活动纪录等。

 

而企业如果对欧盟公民的个资保护不周，像是资料外泄，个资遭骇，非法存取，分享给无权利使用的第三方;或是将个资用于非双方当初约定的目的，例如甲活动搜集的资料，用于另一个不相关的乙活动;以及就算在个资为外泄的情况下，没有采取足够的安全技术保护个资，没有给予当事人删除或更正个资的权力，都违反GDPR规范。

 

一旦没妥善处理或个人资料外泄，需在72小时内通报给个人隐私主管机关，若没有保护风险评估，没有任何资料负责人，没有即时通报，违法向第三国传输个人资料。

 

一旦违反以上状况，会被处理2千万欧元或全球总营业额4％的罚锾。

 

 

 

剑桥分析滥用8700万用户个人资料事件，扎克伯格赴欧洲出席听证会，他在会议中表示，公司绝对会遵守将上路的GDPR规范，为了符合这个精神，Facebook将推出「一键清除历史资料按钮」功能，允许用户删除所有储存的饼干，浏览历史。

 

 

 

如果扎克伯格说的是真的，那么Facebook有可能是其中的少数，「只有极少数的公司，能在25日100％准备好。」法律公司United Lex首席隐私官Jason Straight说：「许多公司特别是美国公司，绝对是抢着在最后一个月，希望一切都能准备好。」

 

祖克伯赴欧洲出席听证会，他在会议中表示，公司绝对会遵守将上路的GDPR规范。

 

GDPR简介

 

1）规范对象对欧盟境内人民提供商品，服务，客户中有欧盟公民，雇用欧盟员工。

 

2）个人定义包括电话号码，地址，行动装置ID，社群网站等，会暴露个人身份的资料，以及血统，政治意见，宗教，生物特征，性倾向等个人特征都算。

 

3）当事人权利更正权，删除权，个资可携权，拒绝权。

 

4）企业责任知悉个人遭受侵害，需72小时内通报与通知，个人保护设计及预设。