iT邦幫忙

2022 iThome 鐵人賽

DAY 15
0
Security

備考 CISSP 敗部復活 雜草談 系列 第 15

GDPR v.s 個人資料 。。。

  • 分享至 

  • xImage
  •  

個人資料處理重點

  • 告知目的
  • 取得同意
  • 蒐集最小化
  • 妥善保管
  • 出事要通知
  • 出事要負責

個資在被弄拿來運用在測試領域時必須使用擬匿名化的資料型態才能避免個資外洩的風險

個資去識別化常用型態

  • 代碼表 (假名化)
    • 可以還原後追溯到本人
  • 匿名化
    • 使用完全不可逆的方法去識別化

GDPR

重點:

  • 出事要在72小時內通報
  • 在中國,個人有額外的刑事責任要背負

引用自 GDPR wiki

本條例的目的:

“個人數據”是指與已識別或可識別的自然人(“數據主體”)相關的任何信息;可識別的自然人是可以直接或間接識別的人,特別是通過參考諸如姓名、身份證號、位置數據、在線標識符等標識符或特定於身體、生理、該自然人的遺傳、心理、經濟、文化或社會身份;

“處理”是指對個人數據或個人數據集執行的任何操作或一組操作,無論是否通過自動方式,例如收集、記錄、組織、結構化、存儲、改編或更改、檢索、諮詢、使用、通過傳輸、傳播或以其他方式提供的披露、對齊或組合、限制、刪除或破壞;
“處理限制”是指對存儲的個人數據進行標記,以限制其在未來的處理;
“剖析”是指任何形式的個人數據自動處理,包括使用個人數據來評估與自然人有關的某些個人方面,特別是分析或預測與該自然人的工作表現、經濟狀況、健康有關的方面,個人偏好、興趣、可靠性、行為、位置或運動;

“假名化”是指以這樣一種方式處理個人數據,即在不使用附加信息的情況下,個人數據不能再歸屬於特定數據主體,前提是此類附加信息單獨保存並受技術和組織措施的約束確保個人數據不屬於已識別或可識別的自然人;

“歸檔系統”是指根據特定標準可訪問的任何結構化的個人數據集,無論是集中式、分散式還是分散在功能或地理基礎上;
“控制者”是指單獨或與他人共同決定處理個人數據的目的和方式的自然人或法人、公共當局、機構或其他機構;如果此類處理的目的和方式由聯盟或成員國法律確定,則控制者或其提名的具體標準可能由聯盟或成員國法律規定;

“處理者”是指代表控制者處理個人數據的自然人或法人、公共機構、機構或其他機構;

1 “接收者”是指個人數據被披露給的自然人或法人、公共當局、機構或其他機構,無論是否為第三方。2但是,根據歐盟或成員國法律可能在特定調查框架內接收個人數據的公共當局不應被視為接收者;這些公共當局對這些數據的處理應根據處理目的遵守適用的數據保護規則;
“第三方”是指除數據主體、控制者、處理者和在控制者或處理者的直接授權下被授權處理個人數據的人之外的自然人或法人、公共機構、機構或團體;
數據主體的“同意”是指數據主體的意願的任何自由、具體、知情和明確的指示,通過聲明或明確的肯定行動,他或她表示同意處理與他有關的個人數據還是她;
“個人數據洩露”是指安全漏洞導致意外或非法破壞、丟失、更改、未經授權披露或訪問傳輸、存儲或以其他方式處理的個人數據;

“遺傳數據”是指與自然人的遺傳或獲得的遺傳特徵有關的個人數據,這些數據提供有關該自然人生理或健康的獨特信息,特別是來自對自然人的生物樣本的分析有關人士;

“生物特徵數據”是指通過與自然人的身體、生理或行為特徵相關的特定技術處理產生的個人數據,這些數據允許或確認該自然人的唯一身份,例如面部圖像或指紋數據;

“與健康有關的數據”是指與自然人的身體或心理健康有關的個人數據,包括提供醫療保健服務,這些數據揭示了有關他或她的健康狀況的信息;

“主要機構”是指:
對於在多個成員國設有機構的控制者,其中央管理機構位於歐盟,除非關於處理個人數據的目的和方式的決定是在歐盟的另一個控制者機構中做出的,並且後一個機構有權執行此類決定,在這種情況下,做出此類決定的機構將被視為主要機構;
對於在多個成員國設有機構的加工商,其中央管理機構在歐盟的所在地,或者,如果加工商在歐盟沒有中央機構,則加工商在其主要加工活動在歐盟的機構設立處理者的活動背景發生在處理者受本條例規定的特定義務約束的範圍內;

“代表”是指在歐盟成立的自然人或法人,由控制者或處理者根據第 27 條以書面形式指定,代表控制者或處理者履行本條例規定的各自義務;

“企業”是指從事經濟活動的自然人或法人,無論其法律形式如何,包括經常從事經濟活動的合夥企業或協會;
“企業集團”是指控制企業及其控制的企業;

“具有約束力的公司規則”是指在成員國領土上設立的控制者或處理者遵守的個人數據保護政策,用於將個人數據傳輸或一組傳輸到一個或多個第三國的控制者或處理者從事共同經濟活動的企業集團或企業集團;

“監督機構”是指成員國根據第 51 條設立的獨立公共機構;
“有關監管機構”是指與處理個人數據有關的監管機構,因為:
控制者或處理者設立在該監管機構的成員國境內;
居住在該監管機構成員國的數據主體受到或可能受到處理的實質性影響;或者
已向該監管機構提出投訴;

“跨境處理”是指:
在控制者或處理者位於多個成員國的歐盟內,在控制者或處理者的多個成員國的企業活動中發生的個人數據處理;或者
個人數據的處理髮生在歐盟單一控制者或處理者的活動背景下,但對多個成員國的數據主體產生重大影響或可能產生重大影響。


了解完GDPR的解釋後,直接來看題目

  1. GDPR 這四個英文縮寫代表的意思是以下哪個?
    a. Giving Dynamic Protection Roles
    b. Grant Doyle Peter Rynheimer
    c. Grant Data Personnel Rules
    d. Generic Data Protection Regulation

看完上面的解釋後知道d才是答案

  1. 歐盟的通用個人保護條例(GDPR),是做什麼的?
    a. 定義組織可以使用的信息類型
    b. 要求保護組織持有的個人信息
    c. 授予公開個人信息的自由
    d. 需要保護政府持有的信息

答: 答案是b. 通用個人保護條例,主要是用來保護個人信息


上一篇
喔不,剛做好的軟件被河蟹了
下一篇
周末就是要... 綜合複習
系列文
備考 CISSP 敗部復活 雜草談 35
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言