一般资料保护规范 (General Data Protection Regulation GDPR) 自 2018 年 5 月 25 日起正式生效。也就是说,从现在起,全球举凡需收集欧盟居民个人资料的公司行号,在处理这些个人资料时皆须更加谨慎,必须保障这类资讯的安全与隐私。同时,这也表示现在该继续探讨系列文章“详细解读 GDPR 的资料保护原则”了。
在本系列连载文章中,我们将探讨这七项资料保护原则、这些原则与 GDPR 之间的关系,以及如何运用这些原则保障贵公司的资料并确实遵守 GDPR 与其他监管准则。
依据 GDPR [第 5 项第 1(b) 条]中的第二项资料保护原则,收集个人资料时必须“秉持具体、明确且正当的目的为之,如需进一步处理,处理方式不得与其目的相悖。”举凡进一步处理个人资料之行为,一概不得“背离其原始目的”。
请务必遵守 GDPR。下载这份免费指南。
简而言之,意思是要有正当、合法的目的才能收集和处理使用者资料,再也不能单凭做得到就将所有资料一网打尽。如果您收集不符合具体目的的资料,可能就违反了 GDPR 规定。同理可证,倘若您为了某个特定目的而收集并处理资料,就不能为了其他不相关的目的处理该项资料。例如,依据 GDPR 的规定,若收集资料的目的是为了研究,就不能为了行销目的而处理及出售该项资料。
依据 GDPR 的规定,个人资料是指资料本身或合并处理者可能取得的其他资料后,能够用于辨别个人身份的资料。姓名、电话号码、IP 位址、电子邮件等等,全都属于个人资料。
不久前 Cambridge Analytica/Facebook 爆出丑闻,Mark Zuckerberg 甚至为此亲赴美国国会及欧盟议会,在议员面前作证;这桩丑闻让世人得知,英国政治顾问公司 Cambridge Analytica 在 2016 年美国大选期间挪用以研究为目的收集而来的资料,锁定数百万名美国与欧盟公民进行政治宣传。若以 GDPR 规定的最新限制为准,Cambridge Analytica 和 Facebook 会面临巨额罚金,最高可罚全球年营业额的 4%。美国现行法规并没有这类目的限制法。
GDPR 大刀阔斧改革资料收集与处理流程,其中第 5 节第 1(c) 条的资料最小化原则特别值得注意。依据这条原则,举凡所收集到的个人资料,皆须“适当、相关,且仅止于符合资料处理目的所需的程度”。
这项规定与目的限制息息相关,不同之处在于资料最小化原则限制的重点在于所储存及收集的资料。重点是,从收集到处理、储存与使用,举凡资料生命周期当中的每一个阶段,皆须采行资料最小化流程及规定,才算遵守 GDPR。在这个流程当中的每一个环节,您都要扪心自问:我们真的需要这项资料吗?如果答案是否定的,就该删除这项资讯。您应该将此流程记载于可资证明的稽核记录中。
此外,要做到资料最小化,您就需要思考打算储存特定资料多久。例如,若需要资料的目的是用于一项将会持续七周的专案,则在专案结案后、不再需要该项资料时,您就必须删除资料。目前业界的惯例是保留一切资料,以防不时之需。敬请注意:这种惯例违反 GDPR。
为遵守 GDPR,收集资料之前请先自问以下问题:
我会如何运用这项资料?
如果不收集这项资料,我能达成目标吗?
我需要储存这项资料多久,才能达成目标?
若贵公司需收集、储存、处理或传输欧盟居民的个人资料,就必须遵守一般资料保护规范 (GDPR)。有鉴于此,**做法就是保证个人资料传输流程所用的系统、使用者验证及加密技术全数安全无虞且遵守 GDPR。
不需编写指令码就能掌握先进的工作流程自动化功能。立即试用 MOVEit Automation 免费试用版。
像 MOVEit 如此可靠的管理式档案传输解决方案,能够透过许多方式协助贵公司遵守 GDPR。
MOVEit 就是一套以表单为主的解决方案,让您能够进行符合标准、安全又有记录可循的资料传输作业,以利追踪资料的去向、使用者,以及浏览者。MOVEit 能让您全权掌握资料生命周期,因此是遵守资料最小化原则不可或缺的要素。MOVEit 提供详尽而全面的分析功能,您可以深入洞悉档案传输活动的各项资讯,由始至终严格遵守 GDPR 的资料保护原则。
MOVEit 安全管理式档案传输也具备传输及闲置资料加密功能、资料完整性检查功能,不但能与既有资安系统整合,也能提供详细的档案传输活动记录。