詳細解讀 GDPR 的資料保護原則,第二部分:目的限制與資料最小化

六月 04, 2018 安全與合規性, MOVEit

近來您的收件匣想必出現了許多註明「我們已更新隱私權聲明」的電子郵件,可想而知,我們也必須遵守 GDPR

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。本週文章將接續上一篇文章的主題,繼續介紹第二條和第三條原則:目的限制與資料最小化。

GDPR 規定必須針對收集資料的目的設限

依據 GDPR [第 5 項第 1(b) 條]中的第二項資料保護原則,收集個人資料時必須「秉持具體、明確且正當的目的為之,如需進一步處理,處理方式不得與其目的相悖。」舉凡進一步處理個人資料之行為,一概不得「背離其原始目的」。

簡而言之,意思是要有正當、合法的目的才能收集和處理使用者資料,再也不能單憑做得到就將所有資料一網打盡。如果您收集不符合具體目的的資料,可能就違反了 GDPR 規定。同理可證,倘若您為了某個特定目的而收集並處理資料,就不能為了其他不相關的目的處理該項資料。例如,依據 GDPR 的規定,若收集資料的目的是為了研究,就不能為了行銷目的而處理及出售該項資料。 

依據 GDPR 的規定,個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。姓名、電話號碼、IP 位址、電子郵件等等,全都屬於個人資料。

不久前 Cambridge Analytica/Facebook 爆出醜聞,Mark Zuckerberg 甚至為此親赴美國國會及歐盟議會,在議員面前作證;這樁醜聞讓世人得知,英國政治顧問公司 Cambridge Analytica 在 2016 年美國大選期間挪用以研究為目的收集而來的資料,鎖定數百萬名美國與歐盟公民進行政治宣傳。若以 GDPR 規定的最新限制為準,Cambridge Analytica 和 Facebook 會面臨鉅額罰金,最高可罰全球年營業額的 4%。美國現行法規並沒有這類目的限制法。

各企業還必須盡可能減少需要收集與儲存的資料

GDPR 大刀闊斧改革資料收集與處理流程,其中第 5 節第 1(c) 條的資料最小化原則特別值得注意。依據這條原則,舉凡所收集到的個人資料,皆須「適當、相關,且僅止於符合資料處理目的所需的程度」。

這項規定與目的限制息息相關,不同之處在於資料最小化原則限制的重點在於所儲存及收集的資料。重點是,從收集到處理、儲存與使用,舉凡資料生命週期當中的每一個階段,皆須採行資料最小化流程及規定,才算遵守 GDPR。在這個流程當中的每一個環節,您都要捫心自問:我們真的需要這項資料嗎?如果答案是否定的,就該刪除這項資訊。您應該將此流程記載於可資證明的稽核記錄中。

此外,要做到資料最小化,您就需要思考打算儲存特定資料多久。例如,若需要資料的目的是用於一項將會持續七週的專案,則在專案結案後、不再需要該項資料時,您就必須刪除資料。目前業界的慣例是保留一切資料,以防不時之需。敬請注意:這種慣例違反 GDPR。

為遵守 GDPR,收集資料之前請先自問以下問題:

  • 我會如何運用這項資料?
  • 如果不收集這項資料,我能達成目標嗎?
  • 我需要儲存這項資料多久,才能達成目標?

MOVEit 對於遵守 GDPR 第二條和第三條原則的助益

若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。 

不需編寫指令碼就能掌握先進的工作流程自動化功能。立即試用 MOVEit Automation 免費試用版。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。 

MOVEit 就是一套以表單為主的解決方案,讓您能夠進行符合標準、安全又有記錄可循的資料傳輸作業,以利追蹤資料的去向、使用者,以及瀏覽者。MOVEit 能讓您全權掌握資料生命週期,因此是遵守資料最小化原則不可或缺的要素。MOVEit 提供詳盡而全面的分析功能,您可以深入洞悉檔案傳輸活動的各項資訊,由始至終嚴格遵守 GDPR 的資料保護原則。 

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵含義。

遵守 GDPR 的七個步驟(英文)

檔案傳輸與 GDPR(英文)

英國脫歐與 GDPR(英文)

金融服務資料傳輸與 GDPR(英文)

另請觀看這部快速簡介七項資料原則的影片

Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.