moveit resource center abstract hero banner

MOVEit 資源中心

搜尋各種 Progress 資源,例如白皮書及資料表 (產品資訊)、成功案例和網路研討會等。

MOVEit is the G2 Grid Leader for Spring 2024 in Managed File Transfer (MFT) 調查報告
調查報告
管理式檔案傳輸 (MFT) G2 報告
閱讀報告
default whitepaper thumbnail 白皮書
白皮書
管理式檔案傳輸:自動化和整合
深入瞭解
資料表
資料表
MOVEit Transfer - 企業級管理式檔案傳輸軟體
深入瞭解

各類 MOVEit 資源

部落格

詳細解讀 GDPR 的資料保護原則,第二部分:目的限制與資料最小化

六月 4, 2018, 21:00 by Telerik.Sitefinity.DynamicTypes.Model.Authors.Author
近來您的收件匣想必出現了許多註明「我們已更新隱私權聲明」的電子郵件,可想而知,我們也必須遵守 GDPR

近來您的收件匣想必出現了許多註明「我們已更新隱私權聲明」的電子郵件,可想而知,我們也必須遵守 GDPR

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。本週文章將接續上一篇文章的主題,繼續介紹第二條和第三條原則:目的限制與資料最小化。

GDPR 規定必須針對收集資料的目的設限

依據 GDPR [第 5 項第 1(b) 條]中的第二項資料保護原則,收集個人資料時必須「秉持具體、明確且正當的目的為之,如需進一步處理,處理方式不得與其目的相悖。」舉凡進一步處理個人資料之行為,一概不得「背離其原始目的」。

簡而言之,意思是要有正當、合法的目的才能收集和處理使用者資料,再也不能單憑做得到就將所有資料一網打盡。如果您收集不符合具體目的的資料,可能就違反了 GDPR 規定。同理可證,倘若您為了某個特定目的而收集並處理資料,就不能為了其他不相關的目的處理該項資料。例如,依據 GDPR 的規定,若收集資料的目的是為了研究,就不能為了行銷目的而處理及出售該項資料。 

依據 GDPR 的規定,個人資料是指資料本身或合併處理者可能取得的其他資料後,能夠用於辨別個人身分的資料。姓名、電話號碼、IP 位址、電子郵件等等,全都屬於個人資料。

不久前 Cambridge Analytica/Facebook 爆出醜聞,Mark Zuckerberg 甚至為此親赴美國國會及歐盟議會,在議員面前作證;這樁醜聞讓世人得知,英國政治顧問公司 Cambridge Analytica 在 2016 年美國大選期間挪用以研究為目的收集而來的資料,鎖定數百萬名美國與歐盟公民進行政治宣傳。若以 GDPR 規定的最新限制為準,Cambridge Analytica 和 Facebook 會面臨鉅額罰金,最高可罰全球年營業額的 4%。美國現行法規並沒有這類目的限制法。

各企業還必須盡可能減少需要收集與儲存的資料

GDPR 大刀闊斧改革資料收集與處理流程,其中第 5 節第 1(c) 條的資料最小化原則特別值得注意。依據這條原則,舉凡所收集到的個人資料,皆須「適當、相關,且僅止於符合資料處理目的所需的程度」。

這項規定與目的限制息息相關,不同之處在於資料最小化原則限制的重點在於所儲存及收集的資料。重點是,從收集到處理、儲存與使用,舉凡資料生命週期當中的每一個階段,皆須採行資料最小化流程及規定,才算遵守 GDPR。在這個流程當中的每一個環節,您都要捫心自問:我們真的需要這項資料嗎?如果答案是否定的,就該刪除這項資訊。您應該將此流程記載於可資證明的稽核記錄中。

此外,要做到資料最小化,您就需要思考打算儲存特定資料多久。例如,若需要資料的目的是用於一項將會持續七週的專案,則在專案結案後、不再需要該項資料時,您就必須刪除資料。目前業界的慣例是保留一切資料,以防不時之需。敬請注意:這種慣例違反 GDPR。

為遵守 GDPR,收集資料之前請先自問以下問題:

  • 我會如何運用這項資料?
  • 如果不收集這項資料,我能達成目標嗎?
  • 我需要儲存這項資料多久,才能達成目標?

MOVEit 對於遵守 GDPR 第二條和第三條原則的助益

若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。 

不需編寫指令碼就能掌握先進的工作流程自動化功能。立即試用 MOVEit Automation 免費試用版。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。 

MOVEit 就是一套以表單為主的解決方案,讓您能夠進行符合標準、安全又有記錄可循的資料傳輸作業,以利追蹤資料的去向、使用者,以及瀏覽者。MOVEit 能讓您全權掌握資料生命週期,因此是遵守資料最小化原則不可或缺的要素。MOVEit 提供詳盡而全面的分析功能,您可以深入洞悉檔案傳輸活動的各項資訊,由始至終嚴格遵守 GDPR 的資料保護原則。 

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能、資料完整性檢查功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

歡迎參閱下列資源,進一步瞭解 GDPR 及其象徵含義。

遵守 GDPR 的七個步驟(英文)

檔案傳輸與 GDPR(英文)

英國脫歐與 GDPR(英文)

金融服務資料傳輸與 GDPR(英文)

另請觀看這部快速簡介七項資料原則的影片

瀏覽 MOVEit 部落格
白皮書
瀏覽 MOVEit 白皮書
網路研討會
瀏覽 MOVEit 網路研討會
資料表
瀏覽 MOVEit 資料表
solid white tilted background decoration

開始 MOVEit Transfer 免費試用