在完整完善的隱私保護設計之下，也需有個健全的隱私保護法規在背後做支撐，藉由完善法規制度的保護之下，視為市場上買賣雙方的保障橋樑。今天針對號稱地球上最嚴厲的法規GDPR(General Data Protection Regulation)為例，將生硬的個資隱私法規用簡單的方式讓大家了解。

最嚴厲的個人資料保護法

歐盟於2018年5月25日所施行的個人資料保護法GDPR(General Data Protection Regulation)，是目前最嚴厲的法規(因罰金非常巨大1000萬至2000萬歐元，或全球年營業總額2%至4%的罰款)之後幾天會再針對GDPR判例做分析研究，如下圖GDPR第83條第(4)、(5)項規定。

GDPR資料保護法的實施讓大眾逐漸意識到「個人資料」是一個非常具有價值的重要資產，多數國家政府、公司企業以及消費者，亦始重新思考個人資料的蒐集、處理、被使用期限與被使用目的等，及規劃擬定最合適、最符合規範的方式。

法規適用範圍廣大

GDPR的規範不論是五金行、雜貨店、小吃店或是跨國的國際大企業或是非營利組織與政府機構，只要接觸到歐盟公民並會蒐集他們的個資做應用，就必須遵守GDPR的規範(註1)。

• 客戶資料有歐盟公民：
  如：某餐廳擁有歐盟公民的訂位姓名、電話
  如：某飯店擁有歐盟公民的訂位姓名、電話、信用卡資料
• 雇用歐盟員工或歐盟供應商：
  如：某公司雇用具歐盟公民身分的正職、兼職員工，擁有他們的薪資紀錄、聯絡資訊、保險資料等
  如：某公司與歐盟供應商合作，擁有聯絡資訊
• 非營利組織與政府機構：
  如：非營利組織與政府機構擁有具歐盟公民的志工、贊助者、捐款人的聯絡資訊、稅捐資料等

GDPR：社會、文化認同、IP位址、網站活動紀錄也視為個人資料

GDPR所定義的個人資料係指有關識別或可得識別自然人(資料當事人)之任何資訊並保護的個人資料範圍(註2、3)包括：無論是直接或間接識別，可區別為個人資料姓名、身分證號、位置資料、電話號碼、地址、車牌、病歷資料、指紋、臉部辨識、相片、影片及社會認同、文化認同等 ，另Cookie、IP、Android 的 Google 廣告ID (AAID) 、 iOS 裝置的廣告識別碼 (IDFA)、網站活動紀錄等也屬於個人資料的一部分。

個資運用的三大角色

GDPR針對資料的蒐集、資料的處理和資料的運用，區分三種角色：資料當事人(亦稱資料主體)(Data Subject)、資料控制者(Data Controller)與資料處理者(Data Processor)，下表以一電子商務網站舉例：

個人資料如同21世紀的石油

紐約時報：「個人資料可視為21世紀的石油」，在數位化生活之中活用個資大數據進而創造最大的商業利益，已是現代企業爭相搶奪的大餅，而其實台灣早在2012年10月1日就已施行個人資料保護法，針對違規者最高處2億台幣罰金，且依刑責還可處2年以下有期徒刑，台灣國人早已有個資保護的意識，然而，歐洲的GDPR要比台灣個資法再具有更高的罰金、個資定義更加廣泛並增加資料當事人可主動行使權利及自動化決策分析處理(Profiling)從嚴規範等。在現今便利的科技環繞生活環境之下，個人資料與隱私早就無所遁形，但只要個資遭到外洩，不僅個人受到危害甚至企業商譽名聲嚴重受影響，而在台灣有個資法及歐盟的GDPR等法令規範保護下，會對違法者依情節輕重祭出罰則，因此，做好個資防護網已是現代環境的顯學，不僅是個人與企業的保護之道，也是企業維持或提升競爭力的關鍵策略，你我先自我保全好自己無價的「石油」將是當代21世紀最重要課題！

參考資料

1. Art. 3 GDPR Territorial scope: https://gdpr-info.eu/art-3-gdpr/
2. Art. 4 GDPR Definitions: https://gdpr-info.eu/art-4-gdpr/
3. Recital 30 Online Identifiers for Profiling and Identification: https://gdpr-info.eu/recitals/no-30/