一般資料保護規範

《一般資料保護規範》（英語：General Data Protection Regulation，縮寫作GDPR；歐盟法規編號：(EU) 2016/679^[1]），又名《通用資料保護規則》，是在歐盟法律中對所有歐盟個人關於資料保護（英語：Data Protection）和隱私的規範，涉及了歐洲境外的個人資料出口。GDPR主要目標為取回個人對於個人資料的控制，以及為了國際商務而簡化在歐盟內的統一規範。^[2]

歐盟一般資料保護規範

歐洲聯盟法規（英語：Regulation (European Union)）
歐洲經濟區文件
全稱	關於在處理個人資料和在轉移這些資料方面保護自然人的法規，以及廢除指令95/46/EC（資料保護指令）
編號	歐洲聯盟法規第(EU) 2016/679號
提案者	歐洲議會和歐盟理事會
歐盟公報	L119, 4 May 2016, p. 1–88
立法歷史
起草日期	2016年4月14日
實施日期	2018年5月25日
審議階段文件
歐洲聯盟委員會草案	COM/2012/010 final – 2012/0010 (COD)
相關法律
取代	《數據保護指令》
現狀：正式立法

GDPR取代了歐盟在1995年推出的歐盟個人資料《資料保護指令》（Data Protection Directive）95/46/EC，該條例包含有關處理歐盟內部資料主體的個人可識別資訊的條款和要求，適用於與歐洲做生意的所有企業，不論實體位置何在。處理個人資料的業務流程必須在設計和預設情況下構建資料保護，這意味著個人資料必須使用假名化或匿名化進行存儲，並且預設使用盡可能最高的隱私設置，以避免公開資料未經明確同意，並且不能用於識別沒有單獨存儲附加資訊的主題。任何個人資料除非在法規規定的合法基礎上完成，否則資料控制者或處理者已經從資料所有者那裡獲得明確的選擇同意。資料所有者有權隨時撤銷此權限。

個人資料處理者必須清楚地披露任何資料收集，聲明資料處理的合法基礎和目的，保留資料的時間以及是否與任何第三方或歐盟以外的國家共享資料。用戶有權以通用格式請求處理器收集的資料的便攜式副本，並有權在特定情況下刪除其資料。 公共主管部門和以核心活動為中心定期或系統地處理個人資料的企業需要雇用資料保護官員（DPO）負責管理GDPR的合規性。如果資料洩露（英語：Data breach）對用戶隱私產生不利影響，企業必須在72小時內報告任何資料洩露（英語：Data breach）。

本法案在2016年4月27日通過，兩年的緩衝期後，在2018年5月25日強制執行^[3]。根據歐洲聯盟運作條約第288條第2項，因為GDPR屬於歐盟條例（德語：Verordnung (EU)）（英語：regulation；德語：Verorderung），不是指令（英語：directive；德語：Richtlinie），所以不需經過歐盟成員國立法轉換成各國法律，而可直接適用^[4]。隨著英國在2019年脫離歐盟，它於2018年5月23日御准批准了2018年資料保護法案（英語：Data Protection Act 2018） 。該法案包含了相應的法規和保護措施^[5][6]。

摘要

GDPR延伸歐洲資料保護法的領域至所有處理歐盟住民的境外公司。^[7] GDPR使通行歐盟的資料保護規章一致，因此使歐洲以外的公司能夠更容易地遵守這些規章；然而代價是嚴格的資料保護規定，且有著公司全球收益4%或兩千萬歐元（擇高者）的高額罰款。^[8]

原則

OECD 發表「個人資料隱私和跨境流動保護指南」，這是歐盟和美國批准的一系列建議，旨在保護個人資料和隱私的基本人權。最初於1980年9月23日通過法律，並且基於以下八大原則^[9]產生出後來的 GDPR 、95/46/EC。

取得限制 (Collection Limitation Principle)

個人資料的收集應存在適當的限制，進而以合法且公平的方式取得，並且透過適當的方法知會資料來源或者主體，再進一步取得同意。

資料品質 (Data Quality Principle)

個人資料應與其使用目的相關，並且在必要的範圍內，確保資料的準確性以及完整性，並隨時更新。

目的明確 (Purpose Specification Principle)

資料取得的目的應於收集資料時就清楚說明，並且在使用資料時，如果沒有通知來源主體，不得應用在和當初目的不相關的用途上

使用限制 (Use Limitation Principle)

除非經資料主體或法律授權，否則不得將個人資料用於原始或者特定目的以外之目的

安全防護 (Security Safeguards Principle)

個人資料應受到合理的安全保護措施之保障，以防止丟失或未經授權的訪問，破壞，使用，修改或披露資料等風險。

開放原則 (Openness Principle)

關於個人資料開發、應用方法，應有一個通用的開放政策去規範。並且資料主體可以輕鬆得取得關於其本身資料的細節，例如資料使用者的身份以及目的等等。

個體參與 (Individual Participation Principle)

資料主體擁有資料的取用權，也有資料的拒絕被使用權。此外也能夠質疑資料的正確性，並作出合理的處置(刪除、修改等)。

責任原則 (Accountability Principle)

資料持有者應對上述原則負責。

主要變動

儘管歐盟在1995年制定了個人資料保護指令（Data Protection Directive），但當時網路並不普及，為了因應當前資料導向的潮流以符合現代時空環境，2016年通過 GDPR 取代了先前的法規，而主要變動如下:

增加管轄範圍、加強罰則

正因為網路無遠弗屆的特性，在以往指令的區域適用性含糊不清的情況下，常常在相關案件的審理上窒礙難行。因此 GDPR 擴展了其管轄範圍，不管公司所在位置為何，現在只要有使用到歐盟人民所擁有的資料，或者向歐盟公民提供商品或服務的公司皆適用於 GDPR。
除此之外也加強了罰則力道，例如沒有足夠的客戶同意來處理資料或違反隱私設計概念的企業組織，將會被歐盟處以高達年度全球營業額的4％或2000萬歐元（以較高者為準）。值得注意的是這些規定同時適用於決策者以及「機器」，這代表的相關的雲端服務也在管轄範圍內。
更規定在向使用者請求資料使用權時，須以提供於理解且明確的說明，並且也要讓使用者易於要撤回同意。

適用對象

下列適用對象握有其客戶或成員相關資料，皆受 GDPR 管轄。

適用對象	例子
客戶中有歐盟公民	餐廳、旅館、旅行社、計程車、電商
歐盟供應商、雇用歐盟員工	正職員工、兼職員工、供應商、合作廠商
非營利組織與政府機構	綠色和平、NGO組織

保護範圍

只要是一個人所能產生出的任何資料，幾乎都被重新定義為個人資料並受到保護。

1. 個人身份 - 電話號碼、地址、車牌等
2. 生物特徵 - 歷資料、指紋、臉部辨識、視網膜掃描、相片等
3. 電子紀錄 - Cookie、IP 位置、行動裝置 ID、社群網站活動紀錄

法規基礎

GDPR的法規基礎有：^[10]

1. 被遺忘權 (Right to be forgotten)：可以要求控制資料的一方，刪除所有個人資料的任何連結、副本或複製品。
2. 取用權 (Right to Access)：可向資料控制方，尋求關於使用者本身的資料之使用方法、地點及目的等等。此外控制方也應以電子形式提供資料的副本供擁有者參考。
3. 資料可攜權 (Right to data portability)：意思是用戶可以以通用、機器可讀的形式取得某一服務的資料，進而轉移到另外一個服務上
4. 隱私始於設計（英語：Privacy by design） (Privacy by design)：組織需要採納隱私設計的架構，在最初階段就對隱私及資料保護問題進行預測及因應，並且應對裝置及應用程式實施嚴格的身分驗證及授權機制。

企業責任

知悉個資遭侵害，需 72 小時內通報與通知、個資保護影響評估、個資保護設計及預設。

影響產業

由於 GDPR 大大擴展了其涵蓋範圍，因此受到了全球的廣泛關注，因為從以往地域上的限制，轉變成為凡是向歐盟人民提供產品、服務或監測歐盟境內公民網路行為的境外企業都算。
受到影響的產業非常廣泛，影響甚大的產業有幾項:

醫療資訊

為了有效推動智慧醫療，許多病患的醫療資訊必須電子化，透過各種深度學習演算法去訓練模型，進而達成各種需求。而電子病歷所衍生的隱私問題，在高度安全的區塊鏈技術尚未普及的情況下，雖然可以透過去識別化（英語：Data de-identification）初步的過濾掉個人資訊，然而在以往尚無法律強制性的時期，卻也無從確實地在使用醫療資料上保障個人隱私。現在，基於 GDPR 的規定，取得醫療資料的前提是有取得病患的同意，雖然增加了一些程序，但資料安全與隱私的保障所帶來的益處，不僅能夠保障病患的基本權利，也能提升資料使用上的正當性。

網路零售

這是一個會處理大量個人可識別資訊之產業，包括跨境電商、連鎖商店、旅遊服務、餐飲，只要是替歐盟顧客服務，掌握信用卡資料、地址、基本個資，都屬於 GDPR 規範中。再加上網路服務隨之產生的資料之大，使其更首當其衝，這也正是為何蘋果等網路服務公司 也推出了個資管理系統，以因應 GDPR 修訂。

金融

金融機構持有大量個人可識別資訊，每當涉及個資需要傳輸到境外、處理或利用到歐盟民眾個資、海外設有分行、委外業務，都可能受到影響。再加上歐盟在世界經濟中佔有第二大位，金流來往頻繁，更不用說近年區塊鏈技術的興起，資料隱私安全議題更是影響甚大。

航空運輸

航空運輸主宰當今人口移動的方式，旅客往返的機票、出入境資料也都涉及個人隱私。以台灣為例，華航、長榮兩家民營航空業者來說，目前在歐洲都有航點，不僅在海外設有辦公室，也需要頻繁處理大量旅客資料。

時間線

• 2012年1月25日: GDPR的提案發布。^[11]
• 2013年10月21日: 歐洲議會公民自由委員會（英語：European Parliament Committee on Civil Liberties, Justice and Home Affairs） (LIBE)進行了意向投票。
• 2015年12月15日: 歐洲議會、理事會和委員會之間的談判(三部曲會議（英語：Formal trilogue meeting）)產生了一項聯合提案。
• 2015年12月17日: 歐洲議會的LIBE委員會投票支持三部曲會議的談判結果。
• 2016年4月8日: 歐洲聯盟理事會通過^[12]。唯一投反對票的成員國是奧地利，該國辯稱，與1995年的指令相比，數據保護水平在某些方面有所下降^[13][14]。
• 2016年4月14日: 歐洲議會通過。^[15]
• 2016年5月24日: 該條例在《歐盟官方公報》發布政府公報20天後生效。^[16]
• 2018年5月25日: 條例生效兩年後，其規定直接適用於所有會員國。^[16]
• 2018年7月20日: 在歐洲經濟區聯合委員會（英語：EEA Joint Committee）和三個國家同意遵循該條例後，GDPR在歐洲經濟區國家(冰島、列支敦士登和挪威)^[17]生效。^[18]