都匿名紀錄了, 以後要如何得知這筆紀錄是屬於誰的?
GDPR 的保護主體是個資, 匿名了, 哪來對應的個資?
此外, GDPR 只針對歐盟國籍者有效, 在尚未辨識出對方身分之前, 何須套用 GDPR 規範?
舉例: 如果對方是一台爬蟲機器人, 那他爬網站的過程, 你也要用 GDPR 去規範他嗎 ?
對方這樣講, 就請他把 GDPR 對應的法條翻出來給你看, 不然就是隨意唬爛.
中英文翻譯對照版在此:
歐盟個人資料保護規則本文部分(引自聯徵中心出版品)
國發會收集的 GDPR 中文譯稿
(現在很多初級工程師, 不求甚解, 聽了一半就轉傳自己腦補的部分, 最後傳成四不像...)
至於 SIEM 或 SoC 中心, 會要求: 不分身分, 記錄所有來訪 Web Access log, 這件事情就跟 GDPR 無關, 那是兩回事, 不能混為一談. 而且, 這種 Access Log 紀錄應該是要轉存到 SIEM 安全中心的 Log 儲存區內, 不是放在網站自己的資料庫內.