大家好,
剛接手公司委外製作的網站,發現資料庫裡存放會員資料的Table,每天有近萬筆大部分欄位為Null的資料在新增,累計迄今已有數百萬筆,覺得奇怪,發信問原網站設計公司,對方回覆說是『為了配合歐盟GDPR法規,使用者進入到網站會先建立非註冊會員的匿名帳號來紀錄Log』。
我查找閱讀了一些GDPR的相關資料,雖然短時間無法深讀,但也沒有看到關於網站需對非註冊會員的瀏覽者進行Log記錄的相關資訊。
不曉得各位有沒有相關資訊,或是對於該回覆有什麼看法呢?
謝謝你們~
已邀請的邦友 {{ invite_list.length }}/5
都匿名紀錄了, 以後要如何得知這筆紀錄是屬於誰的?
GDPR 的保護主體是個資, 匿名了, 哪來對應的個資?
此外, GDPR 只針對歐盟國籍者有效, 在尚未辨識出對方身分之前, 何須套用 GDPR 規範?
舉例: 如果對方是一台爬蟲機器人, 那他爬網站的過程, 你也要用 GDPR 去規範他嗎 ?
對方這樣講, 就請他把 GDPR 對應的法條翻出來給你看, 不然就是隨意唬爛.
中英文翻譯對照版在此:
歐盟個人資料保護規則本文部分(引自聯徵中心出版品)
國發會收集的 GDPR 中文譯稿
(現在很多初級工程師, 不求甚解, 聽了一半就轉傳自己腦補的部分, 最後傳成四不像...)
至於 SIEM 或 SoC 中心, 會要求: 不分身分, 記錄所有來訪 Web Access log, 這件事情就跟 GDPR 無關, 那是兩回事, 不能混為一談. 而且, 這種 Access Log 紀錄應該是要轉存到 SIEM 安全中心的 Log 儲存區內, 不是放在網站自己的資料庫內.
iThome鐵人賽
看影片追技術