iT邦幫忙

0

請問GDPR有規範網站需對非註冊會員的瀏覽者記錄Log嗎?

  • 分享至 

  • xImage

大家好,

剛接手公司委外製作的網站,發現資料庫裡存放會員資料的Table,每天有近萬筆大部分欄位為Null的資料在新增,累計迄今已有數百萬筆,覺得奇怪,發信問原網站設計公司,對方回覆說是『為了配合歐盟GDPR法規,使用者進入到網站會先建立非註冊會員的匿名帳號來紀錄Log』。

我查找閱讀了一些GDPR的相關資料,雖然短時間無法深讀,但也沒有看到關於網站需對非註冊會員的瀏覽者進行Log記錄的相關資訊。

不曉得各位有沒有相關資訊,或是對於該回覆有什麼看法呢?

謝謝你們~

win895564 iT邦研究生 5 級 ‧ 2023-07-20 14:13:15 檢舉
法規我不清楚 但是對於資安角度
我覺得記錄這個log挺合理的
如果有什麼資安問題的話 後續要查找比較有方向
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

1
Ray
iT邦大神 1 級 ‧ 2023-07-20 18:23:22
最佳解答

都匿名紀錄了, 以後要如何得知這筆紀錄是屬於誰的?
GDPR 的保護主體是個資, 匿名了, 哪來對應的個資?

此外, GDPR 只針對歐盟國籍者有效, 在尚未辨識出對方身分之前, 何須套用 GDPR 規範?
舉例: 如果對方是一台爬蟲機器人, 那他爬網站的過程, 你也要用 GDPR 去規範他嗎 ?

對方這樣講, 就請他把 GDPR 對應的法條翻出來給你看, 不然就是隨意唬爛.

中英文翻譯對照版在此:
歐盟個人資料保護規則本文部分(引自聯徵中心出版品)
國發會收集的 GDPR 中文譯稿

(現在很多初級工程師, 不求甚解, 聽了一半就轉傳自己腦補的部分, 最後傳成四不像...)

至於 SIEM 或 SoC 中心, 會要求: 不分身分, 記錄所有來訪 Web Access log, 這件事情就跟 GDPR 無關, 那是兩回事, 不能混為一談. 而且, 這種 Access Log 紀錄應該是要轉存到 SIEM 安全中心的 Log 儲存區內, 不是放在網站自己的資料庫內.

我要發表回答

立即登入回答