分類
資訊安全

最嚴格的個資法_歐盟的GDPR即將上路!【個資法是資訊安全的重要法規】

文/Qmo | 2018-03-14發表
各行各業常常因為個資法在許多方面感到窒礙難行,甚至一些專家學者都呼籲政府應該鬆綁個資法才不會讓新創產業無法發展。讓許多產業都頭痛的個資法為何在歐盟會如此受到重視,新的歐盟個資法以99條(幾乎是台灣的兩倍)條文嚴格規定各企業遵循,並祭以重罰讓企業不得心存僥倖!我們都知道環境保護是很重要的,但是相對於企業而言要做到對環境友善必定要投入龐大的資金成本設置污染防治設備,因此企業一定是被動而行。而驅動並迫使企業要善盡保護環境就是各式的環保法規!同理,資訊安全固然重要,但是要企業投入龐大的資安所需的軟硬體設施及人力就需要個資法去要求企業遵循。”降低成本”及”開拓客源”是所有企業營收成長的重要課題,然而”環保法規”及”個資法”剛好就把企業的成本和收入這兩頭緊緊掐住,就不難想像為何企業對這兩類的法規會如此抗拒了。現在,我們就來看看這讓全球企業都”皮皮剉”的先進法規:
一、企業必須設置資料保護長(DPO)。
二、需取得明確的同意,不得使用晦澀難懂的說法來取得個資。
三、個人資料可攜權。
四、資料被遺忘權。
五、爆發個資外洩的資安事件,72小時內需通報。
六、系統之資料保護設計。
七、反對權,歐洲公民可請求不再讓企業繼續使用個人資料,或個人紀錄。
八、建立資料保護影響評估(DPIA)。
九、提高罰則,最高可罰2000萬歐元或全球總營業額的4%。
這裡要特別看一下第六點,依照規定,企業必須遵循個人資料蒐集最小原則(data minimization)。另外,「個人資料」範圍擴大到 Cookies、網路IP位址或GPS定位等,以及能夠辨識個人身分或性別的基因、生物特徵或醫療資料等。這項規定無疑是目前”物聯網”以及”大數據”的一把利刃。