標準簡介
《一般資料保護規則》(GDPR)是歐盟於 2018 年 5 月 25 日生效的全面性資料隱私法。它規範組織如何收集、使用、儲存、分享和保護歐盟和歐洲經濟區(EEA)內個人的個人資料。儘管為歐盟法規,GDPR 具有域外效力——全球任何處理歐盟居民個人資料的組織都必須遵守。此法規從根本上改變了全球資料隱私方法,賦予個人對其個人資訊前所未有的控制權,並對資料控制者和處理者施加嚴格的問責要求。
GDPR 建立在七項核心原則之上:合法性、公平性和透明度;目的限制;資料最小化;準確性;儲存限制;完整性和保密性;以及問責制。組織必須具備合法的處理依據(如同意、合約、法律義務或合法利益),實施適當的技術和組織措施以確保資料安全,對高風險處理進行資料保護影響評估(DPIA),在需要時任命資料保護官,並在 72 小時內向監管機關報告資料外洩事件。不合規可能導致最高 2000 萬歐元或全球年營業額 4% 的罰款,以較高者為準。此法規亦賦予個人權利,包括存取權、更正權、刪除權(被遺忘權)、資料可攜性權以及反對處理權。
域外適用
適用於全球任何處理歐盟/歐洲經濟區居民個人資料的組織,無論公司總部位於何處。
資料主體權利
賦予個人存取、更正、刪除、攜帶及限制處理其個人資料的權利。
執法與罰款
監理機關可處以最高相當於全球年營業額 4% 或 2,000 萬歐元(以較高者為準)的罰款。
list_alt 核心原則
- 合法性、公平性與透明度
- 目的限制
- 資料最小化
- 正確性
- 儲存期限限制
- 完整性與機密性
- 當責
誰需要合規?
全球任何蒐集、處理或儲存歐盟/歐洲經濟區居民個人資料的組織——包括在歐洲無實體據點的公司。
關鍵要求
處理的合法依據
組織在處理任何個人資料之前,必須確立有效的法律依據(同意、契約、法律義務、重大利益、公共任務或正當利益)。
資料保護影響評估
對於高風險處理活動屬強制要求。組織必須在處理開始前評估對個人的風險並實施緩解措施。
外洩通報
資料外洩必須於 72 小時內通報監理機關。若外洩對個人構成高風險,亦須通知受影響的個人。
資料保護長(DPO)
適用於公務機關以及執行大規模系統性監控或處理特種資料的組織,屬強制要求。
跨境資料傳輸
向歐洲經濟區境外傳輸資料需具備適當保護措施,例如標準契約條款(SCC)、具約束力的公司規則或適足性認定。
實施路線圖
準備與建立問責機制
取得高階主管支持,在必要時任命資料保護負責人或 DPO,並商定職責清晰的治理模式。建立處理活動記錄(ROPA)範本與資料盤點方法,使每個業務單位都清楚自身應做的事。
資料梳理與差距分析
梳理跨系統、供應商與司法管轄區的所有個人資料流,並依據第 30 條完成 ROPA。對照 GDPR 要求(合法性基礎、留存、安全與跨境傳輸)評估每項活動,形成依優先順序排列的整改清單。
落實合法性基礎、告知與 DSAR 流程
為每項處理活動確定並記錄合法性基礎,更新隱私告知,並建立可在一個月 DSAR 期限內回應的資料主體權利作業流程。凡依賴同意之處(如 Cookie、行銷),須實現自由給予、細分且可撤回的同意蒐集機制。
跨境傳輸、DPIA 與資料外洩回應
落實傳輸機制(依據 2021/914 決定的 SCC 並搭配傳輸影響評估,或依賴歐盟-美國資料隱私框架),並對大規模剖析或 AI 模型訓練等高風險活動進行 DPIA。部署可在 72 小時內偵測、評估並通報的資料外洩回應手冊。
稽核、監控與持續改進
建立定期稽核、供應商重新評估與 DPIA 覆核機制,並追蹤不斷演進的監理指引(EDPB、各國 DPA)。持續開展培訓、維護指標與管理層報告,使問責機制可隨時獲得證明。
合規檢查清單
checklist 治理與問責
checklist 資料主體權利
checklist 安全與外洩回應
checklist 跨境傳輸
GDPR 與 ISO 27001、SOC 2 對比
GDPR 是隱私法律,而 ISO 27001 與 SOC 2 是可支撐但不能取代它的安全框架。
| Aspect | GDPR | ISO 27001 | SOC 2 |
|---|---|---|---|
| 性質/類型 | 具約束力的資料保護法律 | 國際資訊安全管理標準 | 基於 AICPA 信任服務準則的鑑證框架 |
| 主要範圍 | 個人資料的處理與個人的權利 | 涵蓋全組織的資訊安全管理系統(ISMS) | 服務組織在安全性(及可選的可用性、機密性、隱私性)方面的控制 |
| 是否強制? | 在適用範圍內具法律強制性 | 自願性,但常被合約要求 | 自願性,常被企業客戶所要求 |
| 地域重點 | 面向 EU/EEA 資料主體,具域外效力 | 全球通用,與司法管轄區無關 | 主要面向美國市場,全球使用 |
| 認證/鑑證 | 無官方認證;須證明問責機制 | 針對該標準的經認可認證 | 獨立稽核師報告(Type I 或 Type II) |
| 如何相互補充 | 確立必須滿足的法律隱私義務 | 提供滿足 GDPR「適當措施」的安全控制 | 向客戶證明這些控制的運行有效性 |
常見誤區
正當利益是隨意處理任何資料的通行證。
正當利益需要有據可查的平衡測試,一旦個人權利壓倒你的利益即告失敗;它不適用於侵入式追蹤、特殊類別資料或人們無法合理預期的處理。
GDPR 只適用於設立在歐盟的公司。
第 3 條將 GDPR 延伸至全球任何面向或監控 EU/EEA 境內個人的組織,因此在歐盟沒有據點的公司仍可能完全在適用範圍內,並可能需要任命歐盟代表。
處理個人資料總是需要同意。
同意只是六項合法性基礎之一;合約、法律義務與正當利益往往更為合適,在其他基礎更契合時依賴同意會帶來不必要的摩擦與撤回風險。
GDPR 只是一項 IT 安全要求。
安全只是其中一部分——GDPR 還規範合法性基礎、透明度、目的限制、資料主體權利、跨境傳輸與問責,因此技術上安全的系統仍可能嚴重不合規。
小型企業與新創公司可獲豁免。
不存在基於規模的豁免;核心原則、權利與外洩義務適用於任何處理適用範圍內個人資料的組織,只有諸如部分 250 名員工以下企業可減少記錄義務等狹窄寬免。
網站上有隱私政策就意味著我們合規了。
隱私告知只是所需產物之一,而非合規證明——問責要求為每項活動確立合法性基礎、維護 ROPA、建立可運作的資料主體流程、傳輸保障以及文字背後可證明的安全控制。
處罰與執行
罰款最高可達 2,000 萬歐元或全球年營業額的 4%(以較高者為準)。監理機關並可下達處理禁令與資料刪除命令。
常見問題解答
GDPR 是否適用於歐盟以外的公司(例如美國或亞洲的公司)?
expand_more
適用。根據第 3 條,無論設立於何處,只要組織向歐盟/EEA 境內的個人提供商品或服務,或監控其行為,即受 GDPR 約束。在歐盟沒有辦公室的美國或亞洲公司仍可能完全在適用範圍內,並可能需要依第 27 條任命歐盟代表。
什麼是合法性基礎?何時可依賴正當利益?
expand_more
每項處理活動都需要第 6 條規定的六項合法性基礎之一(同意、合約、法律義務、重大利益、公共任務或正當利益)。當你有真實業務需要且未被個人權利所壓倒時可依賴正當利益,但必須記錄正當利益評估(LIA)的平衡測試。它不能用於證明人們無法合理預期的處理,通常也不適用於敏感資料或侵入式追蹤。
何時需要開展 DPIA?
expand_more
當處理可能對個人造成高風險時,資料保護影響評估(DPIA)為強制性——例如大規模剖析、對公共區域的系統性監控、大規模處理特殊類別資料,以及許多 AI 與自動化決策系統。各國 DPA 會公布始終需要 DPIA 的作業清單。若 DPIA 顯示存在你無法緩解的殘餘高風險,則須在開始前諮詢監理機關。
我是否需要任命資料保護長(DPO)?
expand_more
如果你是公務機關、核心活動涉及經常性的系統性大規模監控,或大規模處理特殊類別或犯罪記錄資料,則必須任命 DPO。許多組織出於良好實務自願任命。DPO 必須保持獨立、向最高管理層報告,且不得因履行該職責而受到處罰。
如何處理資料主體存取請求(DSAR)?
expand_more
先核實請求者身分,然後在一個月內提供其個人資料副本及所需的背景資訊(目的、接收方、留存、來源),多數情況下免費。對於複雜或數量眾多的請求,在告知個人的前提下可再延長兩個月。應建立可跨所有系統定位資料的可重複流程,並適當遮蔽第三方資訊。
Schrems II 之後跨境傳輸有哪些規則?
expand_more
Schrems II 使隱私盾失效,並確認標準合約條款(SCC)僅在資料於目的地獲得實質等同保護時方為有效。向非適足性國家傳輸時,須使用 2021 版 SCC(2021/914 決定),開展傳輸影響評估,並在當地法律削弱保障時增加補充措施(如加密)。向已認證的美國組織傳輸現可依賴 2023 年通過的歐盟-美國資料隱私框架。
個人資料外洩後 72 小時內我必須做什麼?
expand_more
除非外洩不太可能對個人造成風險,否則你必須在知悉外洩後 72 小時內通報主管監理機關。通報應說明外洩性質、受影響的類別與大致人數、可能後果以及已採取的措施。若外洩可能造成高風險,還須及時通知受影響個人;無論是否需要上報,都必須在內部登記該事件。
GDPR 如何適用於 AI 與大規模資料處理(包括模型訓練)?
expand_more
GDPR 適用於用於訓練、微調或執行 AI 系統的任何個人資料,因此訓練資料需要有據可查的合法性基礎,並須遵守目的限制與資料最小化。高風險 AI 與大規模剖析通常需要 DPIA,且你必須對所涉邏輯保持透明。當 AI 作出具有法律或類似重大影響的完全自動化決策時,第 22 條賦予個人要求人工介入並對結果提出異議的權利。
Cookie 與追蹤的同意要求是什麼?
expand_more
非必要 Cookie 及類似追蹤技術通常需要事先、自由給予、具體、知情且明確的選擇性同意——預先勾選的選項以及強制接受的 Cookie 牆均無效。使用者拒絕應與接受一樣便捷,且你須能證明已取得同意。ePrivacy 規則與 GDPR 並行適用,因此廣告或分析類 Cookie 通常無法以正當利益為基礎。
個人資料可以保留多久(留存限制)?
expand_more
GDPR 未設定固定留存期限;相反,儲存限制原則要求你僅在實現蒐集目的所必需的期間內保留資料。你應按資料類別定義、記錄並執行留存期限,以業務需要或法律義務為依據,隨後安全刪除或匿名化。書面留存計畫是證明合規的實用方式。
GDPR 罰款如何計算?最高可達多少?
expand_more
分為兩檔:對較低級別的違規(如記錄、安全)最高可達 1000 萬歐元或全球年營業額的 2%;對更嚴重的違規(如核心原則、合法性基礎、資料主體權利)最高可達 2000 萬歐元或全球年營業額的 4%——以較高者為準。監理機關會權衡違規的性質、嚴重程度與持續時間、是否故意、緩解努力以及配合程度等因素。罰款並非自動施加,但不合規還可能觸發停止處理的命令,其破壞性往往更大。
控制者與處理者有何區別?
expand_more
控制者決定個人資料處理的目的與方式,而處理者僅按控制者的書面指示行事。控制者承擔主要問責責任,但處理者也負有直接義務——包括安全、次級處理者管控、向控制者通報外洩,以及協助落實資料主體權利。雙方關係須由書面資料處理協議(第 28 條)約束。
小型企業或非營利組織是否豁免於 GDPR?
expand_more
不豁免。無論組織規模或盈利與否,只要處理適用範圍內個人的個人資料,GDPR 即適用。小型組織可獲有限寬免——例如 250 名員工以下者可免於部分記錄義務,除非處理並非偶發、屬高風險或涉及特殊類別資料——但核心原則、權利與外洩規則仍然適用。