【研究倫理新聞】史上最嚴格的個資保護法-GDPR

2017年5月25日,號稱歐盟史上最嚴格的個資保護法-GDPR (General Data Protection Regulation)正式上路。簡言之,其意味著歐盟公民享有「被遺忘權」,也就是要求其個人資料於網路上全面消失的權利。更重要的是此規範直接適用各國,無需各國政府立法授權。

GDPR包含11章共99條法規,盡可能地規範數據蒐集與處理的合法性、公平與透明化,不僅規範在歐盟境內設立據點的企業,也包含對歐盟境內人民提供產品、服務等的境外企業。若境外企業欲與境內進行個資的跨境傳輸,則須符合GDPR對於第三國個資保護水平的標準並取得適足性認定。

另,針對企業及個人亦設定了相關規定及罰則,例如企業涉及蒐集個人敏感性資料,需設置全職的資料保護長;若資料遭駭,則需於72小時發出警訊等。個人同意權行使的部分,除明確規定需年滿16歲才可同意企業使用自己的資料外,表達同意的方式也需採逐項同意,不得像過去慣用以一概全的方式表達同意。

新聞連結